Durante el 2018 los criminales continuaron dirigiendo ataques de ransomware a grandes organizaciones. Y por esta razón decidimos elaborar un white paper que explica por qué el ransomware sigue siendo una amenaza peligrosa para las organizaciones, sin importar su tamaño, y qué pueden hacer éstas para reducir la exposición y el daño ante este tipo de amenazas.

El documento pone el foco en tres peligrosos vectores de ataques de ransomware: acceso remoto, correo, y cadena de suministro. El propósito de este material es ayudar a CEOs, CIOs, CISOs, y administradores de riesgos empresariales para que puedan entender cuál es el actual estado de los ataques de ransomware, así como la evolución de varias áreas que también preocupan.

Grandes blancos, altas demandas

Si tu organización no fue impactada por un ataque de ransomware en el último tiempo puede que te sientas tentado a asumir que esta clase de amenazas pasó a formar parte de los archivos del cibercrimen. Y es que los titulares de los medios han descrito al ransomware como un fenómeno que tuvo lugar en 2017 y que su caída está relacionada con el crecimiento de la minería de criptomonedas. Pero en realidad, lo que reflejan los titulares actuales es que mientras ha habido un importante crecimiento en las detecciones de mineros de criptomonedas, algunos de los indicadores más obvios de la actividad del ransomware han decaído; pero esto no quiere decir que el ransomware forma parte del pasado, ya que sigue siendo una amenaza muy seria para las organizaciones.

A modo de ejemplo, recordemos lo que sucedió este año en la ciudad de Atlanta, en Estados Unidos, cuando cinco departamentos gubernamentales de la ciudad fueron impactados por un ataque de ransomware: Sistema Penitenciario, Manejo de Cuencas Hidrográficas, Recursos Humanos, Parques y Recreación, y Planeamiento de la Ciudad. Una serie de funciones de la ciudad fueron impactados por el ataque, incluyendo la habilidad de aceptar el pago online de facturas de agua y multas de tránsito. El Wi-Fi del Aeropuerto Internacional de Atlanta "Hartsfield-Jackson" fue desactivado por una semana. Si bien Atlanta rechazó los $50.000 que los criminales exigían para el rescate, el impacto financiero ha sido de millones de dólares (y puede que haya terminado siendo cercano a los $17 millones).

Tal como documentamos en este white paper, costosos ataques de ransomware impactaron a numerosas organizaciones relacionadas con el sector estatal, gubernamental y educativo. Tenemos conocimiento de estos ataques porque entidades vinculadas a estos sectores generalmente tienen como requisito hacer públicos estos reportes. Lo mismo sucede en el sector de la salud, donde las regulaciones gubernamentales también pueden exigir la divulgación.

Pero, ¿qué sucede con aquellas organizaciones que no tienen la obligación de divulgar casos de brechas de seguridad? Es razonable pensar que una empresa comercial que es impactada por un ataque de ransomware dirigido intentará evitar salir en los medios a toda costa. Esto significa que no podemos basarnos en los reportes publicados sobre ataques de ransomware para hacer una evaluación del alcance de la amenaza. Lo que sí sabemos, por parte de los equipos de soporte, proveedores de seguridad y otros, es que el ransomware continúa siendo una amenaza costosa y que las víctimas no son pocas a lo largo de todos los sectores de negocios.

El factor Remote Desktop Protocol (RDP)

Algo más que sabemos es que una porción de los ataques de ransomware que tuvieron lugar durante 2018 y que estaban dirigidos a sectores como la salud o entidades gubernamentales, involucran a una familia de ransomware conocida como SamSam (detectada por los productos de ESET como MSIL/Filecoder.Samas). Los ataques SamSam en 2018 han penetrado organizaciones mediante la “aplicación de fuerza bruta a los endpoints RDP”  (Departmento de Salud y Servicios Humanos de los Estados Unidos).

Un endpoint RDP es un dispositivo, como un servidor de base de datos, que ejecuta un software de Remote Desktop Protocol (RDP) para que el dispositivo pueda estar accesible a través de una red, como Internet. Si los accesos al servidor solo están protegidos con un nombre de usuario y contraseña, entonces un atacante que haya identificado al servidor como un blanco realizará múltiples intentos para adivinarlos, frecuentemente con un ratio de velocidad muy alto, de ahí el término: ataque de fuerza bruta. Ante la ausencia de cualquier mecanismo para limitar la presencia de múltiples invitados con malas intenciones, tales ataques pueden ser muy efectivos y permitir que se extienda este compromiso a lo largo de la red de una organización. Para hablar de un caso particular, un ataque de ransomware impactó un gigante de pruebas médicas como Lab Corp en julio de 2018 a través de RDP y llegó a 7.000 sistemas y 350 servidores de producción en menos de una hora.

Desde el 28 de octubre de 2018, el escáner Shodan indica que más de dos millones y medio de sistemas en Internet estaban corriendo RDP de manera explícita y que más de un millón y medio de esos sistemas estaban en los Estados Unidos. Para un atacante, todas esas máquinas son blancos potenciales para ser explorados. Una vez comprometidas, pueden ser explotadas o, tal como se detalla en el white paper, las credenciales de acceso pueden ser comercializadas en el mercado negro, como por ejemplo, en xDedic.

Resumen

Las amenazas en el campo de la seguridad son acumulativas. Este fenómeno de “acumulación de amenazas” implica que la existencia de una oleada de criminales intentando abusar de los recursos de procesamiento de los dispositivos de las personas para minar criptomonedas no quiere decir que exista una escasez de criminales interesados en desarrollar y desplegar técnicas de explotación de RDP con el objetivo de crear un vector de ataque redituable para el ransomware. Del mismo modo, capacitar a tu organización en el uso de RDP (lo cual es necesario por múltiples razones) no implica que ya no sea importante realizarlas contra el phishing.

El white paper deja en claro que, junto a las acciones de capacitación, las organizaciones necesitan contar con políticas de seguridad que sean fácilmente aplicables y controladas. También necesitan contar con productos de seguridad y herramientas, incluyendo pruebas de backup y sistemas de recuperación; además de un plan de respuesta ante incidentes que esté constantemente actualizado. Incluso con todas estas medidas, sumado a la vigilancia, nadie tiene asegurada la inmunidad ante los ataques. Pero sin lugar a dudas, de esta manera se aumentarán las posibilidades de desviarlos.

Hasta que los gobiernos de todo el mundo no logren acuerdos globales, la batalla contra el cibercrimen no solo continuará, sino que también se expandirá junto con los beneficios que la sociedad obtiene por parte de las nuevas tecnologías. Por suerte, al explicar por qué el ransomware sigue siendo una amenaza seria para las organizaciones y qué se pueden hacer para defenderse de los ataques de esta naturaleza, este documento ayudará para asegurar esos beneficios al tiempo que se minimizan las pérdidas provocadas por los actores maliciosos.

Descarga el white paper: Ransomware: An enterprise perspective.