Como lo predijo ESET, compañía líder en detección proactiva de amenazas en su informe Tendencias 2021, el ransomware como amenaza ha evolucionado, dando lugar a ataques más dirigidos en los cuales se solicitan el pago de rescates cada vez más altos y se valen de mecanismos más sofisticados que les permiten una mejor planificación y aumento de su eficacia.
Asimismo, las bandas de ransomware sumaron nuevos métodos en varias etapas de la amenaza que van desde su creación y mutación para no ser detectados hasta los ataques de denegación de servicio (DDoS) como nueva modalidad extorsiva RDDoS.
Qué es un ataque RDDoS
Para entender qué es un ataque RDDoS en primer lugar hay que comprender dos términos: DDoS y ransomware.
El ransomware es un malware que Infecta un equipo y de esta forma cifran los archivos y el propio sistema operativo. Posteriormente, el atacante para poder obtener un beneficio económico, piden un rescate. De esta forma liberan esos archivos para que vuelvan a estar disponibles.
Por otra parte, los ataques DDoS tienen como misión dejar sin servicio una página web o plataforma online. Esto produce pérdidas importantes, ya que si afecta por ejemplo a un sitio web de comercio electrónico, estaría durante horas sin poder recibir visitas e ingresar dinero. Básicamente consiste en enviar multitud de solicitudes para que los servidores no puedan responder y se bloqueen.
Ahora, en un ataque RDDoS podemos decir que se mezclan ambos, ya que un atacante lleva a cabo un ataque DDoS y pide un rescate económico para que dicho ataque ceda. Esto último es lo que se asemeja al ransomware.
Normalmente los piratas informáticos piden un rescate económico en bitcoins y otras monedas digitales. Envían una nota a esa empresa u organización con la información necesaria para que cesen los ataques o no lleguen a llevarse a cabo. La víctima tendría que pagar para evitar que su página web o servicio online no quede ininterrumpido.
Ransomware Avaddon en América Latina
En esta línea se encuentran varios grupos de ransomware. Uno de ellos, y con mucha actividad en lo que va de 2021, es Avaddon, un ransomware as a service (RaaS) que fue reportado por primera vez en junio de 2020. Si bien los blancos de ataque más comunes han sido pequeñas, medianas y grandes empresas de Europa y Estados Unidos, hay una gran cantidad de afectados en América Latina.
Países como Brasil, Perú, Chile y Costa Rica han registrado cada vez más víctimas de Avaddon. Las mismas van desde organismos gubernamentales hasta compañías de industrias como la salud o las telecomunicaciones. Pocos grupos de ataque se adjudican tantas víctimas en la región y en tan poco tiempo.
Más del 80% de las empresas no están preparadas
De acuerdo con el Informe global de Fraude e Identidad 2021, realizado por DataCrédito Experian desde junio de 2020 hasta enero de 2021 en diferentes países de América del Norte, América Latina, Europa y Asia-Pacífico, en Latinoamérica se generó un incremento en los reclamos fraudulentos, conocidos como auto-fraude o fraude amistoso, y del cibercrimen, como consecuencia del deterioro de la situación económica.
De acuerdo con Eric Hamburger, country manager de DataCrédito Experian, en materia de cibercrimen, Colombia ocupa el tercer lugar, dentro del top 5 de fraudes, mientras que en lo referente a ataques cibernéticos el país es el sexto de América Latina con más casos detectados y que ha llegado a registrar 198 millones, generando pérdidas por 6.179 millones de dólares.
En Colombia, la Policía Nacional publicó un informe en 2020 que analizaba el crimen cibernético en el año 2019. En primer lugar, el estudio estimaba que el costo del ransomware en Colombia era de 1,1 millones de dólares, correspondiente al 30% de todos los ataques de este tipo de amenaza en América del Sur, en el área de América Latina.
“Yo creo que este número, probablemente, se queda corto. En Colombia el porcentaje es del 30%, en Perú del 16%, en México del 14%, en Brasil del 11% y en Argentina del 9%; son valores fascinantes. Pero el número que para mí realmente se destaca en este informe es que el 83% de las empresas encuestadas dijo que no tiene protocolos de respuesta, por lo que no está preparado para un ataque de este tipo. Y en el entorno actual, eso no es aceptable” explica Tony Anscombe, evangelizador de Seguridad de ESET.
Entre enero de 2020 y junio de 2021, la protección contra ataques de fuerza bruta de ESET evitó más de 71 mil millones de ataques contra sistemas con el puerto al Protocolo de escritorio remoto (RDP) accesible de manera pública, lo que demuestra la popularidad de ese protocolo entre los ciberdelincuentes como superficie de ataque.
Pero el RDP no es la única forma de distribución que utilizan las bandas de ransomware actualmente. Las campañas de malspam que distribuyen documentos poco fiables, macros maliciosas, hipervínculos dañinos y binarios de botnets no se fueron a ninguna parte y debemos sumarlas a los miles de millones de ataques de fuerza bruta con los que se bombardea a potenciales víctimas.
Además del RDP, el aumento de la actividad del ransomware también ha sido impulsado por el uso de la doble extorsión (o doxing), una técnica que comenzó a implementarse en 2019 por el ahora desaparecido ransomware Maze. Además de cifrar los datos de las víctimas, este infame grupo de ransomware también comenzó a robar la información más valiosa y sensible de las víctimas (en una etapa previa al cifrado) y amenazar a sus víctimas con publicarla a menos que se pagara el rescate.
Debido a la mayor efectividad que lograron a través de estas técnicas extorsivas y a la amplia gama de canales de distribución del malware, se estima que cientos de millones de dólares han terminado en las cuentas de estos ciberdelincuentes técnicamente capacitados. Impactantes montos demandados por los criminales, como fueron los $70 millones de dólares exigidos por REvil en el ataque de Kaseya o los $40 millones pagados por la compañía de seguros CNA, demuestran cómo ha escalado esta amenaza en 2021.
Las empresas deben contar con un plan
Ante este escenario, aprender de los diferentes incidentes que se reportan diariamente y de los análisis de malware se ha convertido en una necesidad para cualquier profesional de TI y seguridad. Desde principios de 2020 se ha demostrado una y otra vez que la implementación de políticas, la adecuada configuración del acceso remoto, y el uso de contraseñas seguras en combinación con la autenticación multifactor, pueden ser los elementos decisivos en la lucha contra el ransomware. Muchos de los incidentes mencionados en el whitepaper Ransomware: A criminal art of malicious code, pressure and manipulation también ponen en evidencia la importancia de instalar las actualizaciones de seguridad a tiempo, ya que las vulnerabilidades divulgadas y reparadas (pero sin parchear) se encuentran entre los vectores de interés de estas bandas.
“Las empresas deben asegurarse de que cuentan con un plan y una estrategia de ciberseguridad en caso de que ocurra un ataque de este tipo y se aseguren de que lo han probado, de que ejecutaron el escenario y saben cómo recuperarse del ataque” concluye Tony Anscombe.
Pero incluso una buena higiene cibernética y una correcta configuración no detendrán a todos los atacantes. Para contrarrestar a los actores de ransomware que utilizan vulnerabilidades zero-day, botnets, malspam y otras técnicas más avanzadas, se necesitan tecnologías de seguridad adicionales. Entre ellas una solución de seguridad para endpoint de múltiples capas, capaz de detectar y bloquear amenazas que lleguen a través del correo electrónico, ocultas detrás de un enlace o a través de RDP y otros protocolos de red; así como herramientas de respuesta y detección de endpoints para monitorear, identificar y aislar anomalías y signos de actividad maliciosa en el entorno de la organización.