El aumento de los ataques de ransomware expone las vulnerabilidades cibernéticas de EE. UU.

2021-06-09
En la primera mitad de 2021, la cantidad de organizaciones afectadas por ransomware en todo el mundo se ha más que duplicado en comparación con 2020, según una investigación de Check Point Software Technologies. SynthEx / Shutterstock

En marzo de 2018, Atlanta se vio afectada por un ataque de ransomware que infectó a casi 3.800 computadoras gubernamentales pertenecientes a la ciudad de Atlanta, incluidos servidores. Una vez que se implementó el virus, el ransomware esencialmente bloqueó todas las computadoras infectadas, lo que imposibilitó su acceso. El sistema judicial de Atlanta cayó; la policía no pudo verificar las placas de matrícula; los residentes no podían pagar facturas en línea.

Solo tres semanas antes de que Atlanta fuera atacada, la pequeña ciudad de Leeds, Alabama , también experimentó un ciberataque idéntico. Y antes de Leeds en enero, fue el Hospital Regional Hancock en los suburbios de Indianápolis.

Lo que estos tres ataques tienen en común es que fueron atacados por el ransomware SamSam , también conocido como MSIL / Samas.A. Cada ataque exigió aproximadamente la misma cantidad: alrededor de $ 50,000 en criptomonedas . Hancock Regional Hospital y Leeds, Alabama, pagaron el rescate. Sin embargo, la ciudad de Atlanta no lo hizo. En cambio, optó por pagar millones para que sus sistemas volvieran a estar en línea.

En ese momento, la ciudad de Atlanta era una de las más destacadas para ser atacadas por ransomware, que según John Hulquist, es cuando un ciberdelincuente accede a una red de computadoras, cifra todos los datos y extorsiona a la empresa para que la desbloquee. Hulquist es vicepresidente de análisis de Mandiant Threat Intelligence en FireEye , una empresa de seguridad dirigida por inteligencia.

El informe Mandiant M-Trends 2021 de FireEye muestra un aumento dramático en los ataques de ransomware desde diciembre de 2019 hasta septiembre de 2020.

El ransomware no es nada nuevo

Hulquist dice que los ataques de ransomware, que básicamente mantienen como "rehén" a la red de una empresa hasta que se paga el rescate exigido, no son nada nuevo. Han estado sucediendo durante varios años (como indican estos tres casos).

En la primera mitad de 2021, la cantidad de organizaciones afectadas por ransomware en todo el mundo se ha más que duplicado en comparación con 2020, según una investigación de Check Point Software Technologies. El informe Mandiant M-Trends 2021 de FireEye también identificó más de 800 intentos de extorsión en los que probablemente se robaron datos. Estas cifras se basan en las investigaciones de Mandiant sobre la actividad de ataques dirigidos realizadas desde el 1 de octubre de 2019 hasta el 30 de septiembre de 2020.

Los objetivos ahora se están volviendo mucho más destacados. Solo en los EE. UU. Desde abril, empresas prominentes como Colonial Pipeline , JBS Foods , NBA y Cox Media Group se han visto afectadas.

Los piratas informáticos suelen acceder a las redes a través de ataques de phishing , que son correos electrónicos que se envían a los empleados para engañarlos para que cedan contraseñas o hagan clic en enlaces maliciosos que descargarán el malware en la red de la empresa. El ransomware también busca otras entradas en las redes de la empresa a través de contraseñas que se descifran fácilmente, como 123qwe, por ejemplo.

Los temores de una escasez de gasolina por el cierre del Oleoducto Colonial en mayo llevaron a compras y acaparamiento de pánico entre los conductores estadounidenses a lo largo de la costa este. Colonial pagó 4,4 millones de dólares en bitcoins para que el oleoducto volviera a estar en línea.

¿Por qué tantos y por qué ahora?

Hulquist lo explica así: Originalmente, el ransomware era principalmente sistemas pequeños automatizados y dirigidos. Él lo llama "rociar y rezar".

"El ransomware saldría y atacaría cualquier sistema que pudiera conseguir", explica. Buscó contraseñas vulnerables, redes abiertas, entradas fáciles. "Se sabía que [los atacantes] eran bastante amigables; desbloqueaban los datos, incluso ofrecían descuentos a veces, y seguían adelante con su vida". Bitcoin, dice, ofrecía una buena plataforma para transferir ese dinero. Eso es exactamente lo que sucedió en Leeds. Los atacantes exigieron 60.000 dólares; el pueblo pagó $ 8,000 .

Pero luego las cosas cambiaron, dice Hulquist. El ransomware pasó de "rociar y rezar" automatizados a grandes ataques dirigidos a empresas más grandes con más dinero. Y los rescates se dispararon. En 2020, las empresas pagaron más de $ 406 millones en criptomonedas como rescate a los atacantes, según el último informe de Chainanalysis , que analiza blockchain y criptomonedas.

"Estos nuevos objetivos tienen que pagar porque a menudo son infraestructura crítica", dice Hulquist. "Tienen que volver a conectarse. Los consumidores son en realidad un factor porque están obligando a estas empresas a tomar decisiones apresuradas en cuanto a pagar".

¿Pagar o no pagar?

Ese fue el caso del ataque Colonial Pipeline. El hackeo derribó el oleoducto de combustible más grande de los EE. UU. El 29 de abril y provocó el acaparamiento masivo de combustible en la costa este. El director ejecutivo de Colonial Pipeline, Joseph Blount, le dijo a The Wall Street Journal que la compañía pagó el rescate (4,4 millones de dólares en bitcoins ) para volver a poner el oleoducto en línea. Pero la clave de descifrado que proporcionaron los adversarios no restauró de inmediato todos los sistemas de la tubería.

Y ese es solo uno de los problemas con el pago de un rescate. La otra pregunta importante es si el pago de rescates solo genera más problemas. "Creo que pagar rescates claramente conduce a ataques más dirigidos", dice Hulquist, "pero si usted es una empresa en una situación imposible, debe hacer lo correcto por su organización".

La buena noticia para Colonial es que el Departamento de Justicia de EE. UU. Anunció el 7 de junio que recuperó 63,7 bitcoins, valorados en unos 2,3 millones de dólares que Colonial pagó a sus piratas informáticos. "La medida del Departamento de Justicia para recuperar los pagos de rescate de los operadores que interrumpieron la infraestructura crítica de Estados Unidos es un avance bienvenido", dice Hulquist. "Ha quedado claro que necesitamos utilizar varias herramientas para detener la marea de este grave problema".

Por supuesto, no pagar el rescate puede ser igual de problemático. "Algunas de estas empresas no quieren pagar, por lo que las obligan a pagar filtrando sus datos públicamente", dice Hulquist. "Esa es una propuesta de la que muchas organizaciones no quieren formar parte". Los correos electrónicos filtrados y otra información patentada, dice, pueden ser mucho más dañinos para algunas empresas que simplemente pagar. Puede exponerlos a problemas legales o terminar dañando su marca.

Otros piratas informáticos simplemente exigen el pago sin siquiera instalar ransomware . Eso es lo que sucedió durante el ataque a los Houston Rockets en abril. No se instaló ningún ransomware en la red del equipo de la NBA, pero el grupo de piratería Babuk amenazó con publicar contratos y acuerdos de no divulgación que, según afirma, robó del sistema del equipo si no pagaba.

JBS Foods, que es una de las compañías de alimentos más grandes del mundo, también fue atacada por ransomware el 31 de mayo. El malware afectó a algunos de sus servidores que soportan sus sistemas de TI de América del Norte y Australia, lo que obligó a la compañía a suspender sus operaciones el 1 de junio.

¿Qué está haciendo el gobierno?

Hulquist dice que el gobierno puede hacer mucho más. "Sabemos que este problema estaba creciendo desde hace algún tiempo y finalmente lo están tomando en serio y están intensificando sus esfuerzos", dice.

Por supuesto, se está refiriendo a varias iniciativas nuevas presentadas por la administración de Biden en respuesta al aumento de los ataques de ransomware. El 12 de mayo, el presidente Biden firmó una orden ejecutiva diseñada para mejorar la ciberseguridad en las redes del gobierno federal. Entre sus acciones ejecutivas, establecerá una Junta de Revisión de Seguridad de Ciberseguridad inspirada en la Junta Nacional de Seguridad en el Transporte (NTSB). El panel probablemente incluirá expertos públicos y privados que examinarán los incidentes cibernéticos de manera similar a cómo la NTSB investiga los accidentes.

Anne Neuberger, asistente adjunta de Biden y asesora adjunta de seguridad nacional para tecnología cibernética y emergente, también publicó una carta abierta el 2 de junio dirigida a "ejecutivos corporativos y líderes empresariales".

En él dice que el sector privado tiene la responsabilidad de protegerse contra las amenazas cibernéticas y que las organizaciones "deben reconocer que ninguna empresa está a salvo de ser atacada por ransomware, independientemente de su tamaño o ubicación ... Le instamos a que se tome en serio los delitos de ransomware y se asegure sus ciberdefensas corporativas están a la altura de la amenaza ".

Cómo proteger su empresa

¿Qué puede hacer para asegurarse de que su red sea segura? La Agencia de Seguridad Cibernética y Seguridad de la Información (CISA) y el FBI el 11 de mayo publicaron las mejores prácticas para prevenir la interrupción del negocio por ataques de ransomware. En él, enumeran seis mitigaciones que las empresas pueden hacer ahora para reducir el riesgo de verse comprometidas por ransomware:

  1. Requiere autenticación multifactor para el acceso remoto a tecnología operativa (OT) y redes de TI.
  2. Habilite filtros de spam sólidos para evitar que los correos electrónicos de phishing lleguen a los usuarios finales. Filtre los correos electrónicos que contienen archivos ejecutables para que no lleguen a los usuarios finales.
  3. Implemente un programa de capacitación de usuarios y ataques simulados de spearphishing para disuadir a los usuarios de visitar sitios web maliciosos o abrir archivos adjuntos maliciosos y reforzar las respuestas apropiadas de los usuarios a los correos electrónicos de spearphishing.
  4. Filtre el tráfico de la red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas. Evite que los usuarios accedan a sitios web maliciosos mediante la implementación de listas de bloqueo y / o listas de permisos de URL.
  5. Actualice el software, incluidos los sistemas operativos, las aplicaciones y el firmware de los activos de la red de TI, de manera oportuna. Considere el uso de un sistema de administración de parches centralizado; Utilice una estrategia de evaluación basada en riesgos para determinar qué activos y zonas de la red OT deben participar en el programa de administración de parches.
  6. Limite el acceso a los recursos a través de las redes, especialmente restringiendo el protocolo de escritorio remoto (RDP), que es un protocolo de comunicaciones de red seguro para la administración remota. Después de evaluar los riesgos, si se considera que RDP es operativamente necesario, restrinja las fuentes de origen y requiera la autenticación multifactorial.

Hulquist dice que todo el propósito del juego ahora es alcanzar un objetivo enorme que probablemente pague, y uno que tenga que pagar. Y desconectar la infraestructura crítica no está fuera de discusión. Para eso, dice, Estados Unidos no está preparado.

"Nuestra sofisticación es nuestro talón de Aquiles en este espacio", dice. "Nos hace más vulnerables a los incidentes. Una de las lecciones que deberíamos aprender de todo esto es que no estamos preparados para la guerra cibernética. Sabemos que se han centrado en la atención médica y otras capacidades críticas. Todo el mundo está aprendiendo de esto. "

Ahora eso es una locura

Entonces, ¿quién está detrás de todos estos ataques de ransomware? ¿Recuerda SamSam, el ransomware que acabó con Atlanta? En 2018, un gran jurado acusó formalmente a dos iraníes que participaban por el dinero. Otros tres ransomwares, NETWALKER, REvil y Darkside , son lo que se conoce como RaaS (Ransomware-as-a-Service), lo que significa que ofrecen a cualquiera que difunda su malware del 10 al 25 por ciento del pago. Se dice que Darkside estuvo detrás del ataque Colonial Pipeline. Estas operaciones parecen tener su sede en Rusia.

Suggested posts

Por qué debería considerar el uso de un navegador privado

Por qué debería considerar el uso de un navegador privado

Los navegadores privados ofrecen mucha más protección que usar el modo de privacidad de un navegador normal. Pueden proteger sus datos confidenciales, protegerse de los rastreadores y anuncios de terceros y proporcionar una experiencia de navegación más segura.

¿Cuál es el video que menos me gusta en YouTube?

¿Cuál es el video que menos me gusta en YouTube?

Algunos videos que te encanta odiar. Y el odio. El dudoso ganador del título "más desagradable" ha estado en el primer lugar durante tres años y contando.

Related posts

Cómo habilitar el modo oscuro de Facebook

Cómo habilitar el modo oscuro de Facebook

El modo oscuro de Facebook cambia tu pantalla a un fondo negro con letras blancas, que tus ojos te agradecerán y tu batería tampoco odiará.

Cómo eliminar su cuenta de Twitter

Cómo eliminar su cuenta de Twitter

¿Tuviste suficiente del Twitterverse? A continuación, le indicamos cómo eliminar su cuenta.

Cómo activar la protección contra ransomware de Windows 10

Cómo activar la protección contra ransomware de Windows 10

El ransomware y sus efectos están costando a las empresas y a las personas más de $ 20 mil millones al año y la amenaza no cede a medida que los agentes de malware continúan prosperando. Entonces, ¿cómo se protege a sí mismo y a su negocio?

La ley de Poe explica mucho sobre la Internet moderna

La ley de Poe explica mucho sobre la Internet moderna

Es fácil sacar los comentarios en línea de contexto. ¿Es serio o es una sátira? Ahí es donde entra en juego la ley de Poe (y un emoji sonriente guiñando un ojo).

Top Topics

Language