Resumen sobre el manejo de ataques de ransomware por parte de SI-CERT en Eslovenia
El SI-CERT, el Centro de Respuesta a Emergencias de Seguridad Informática de Eslovenia, ha estado enfrentando incidentes de ransomware de forma continua desde abril de 2012. Inicialmente, los atacantes seleccionaban víctimas al azar en campañas masivas; sin embargo, desde 2019, los ataques han adquirido un enfoque más selectivo, concentrándose en organizaciones que tienen la capacidad de pagar rescates significativos. Los vectores comunes de infección incluyen correos electrónicos maliciosos y accesos a través de protocolos de escritorio remoto que no cuentan con la protección adecuada.
Desarrollo del ataque
En un ataque que se considere dirigido, los ciberdelincuentes eligen sus objetivos en función de su potencial económico. Si el ataque se inicia mediante un correo electrónico, este suele contener un troyano que, una vez instalado, permite a los atacantes utilizar un Kit de Herramientas de Administración Remota (RAT). Con el RAT, pueden observar la infraestructura de la red y, mediante herramientas adicionales de intrusión, adquieren credenciales de acceso a otros sistemas dentro de la red. En los entornos Windows, el controlador de dominio es un objetivo crucial. Tras evaluar el valor potencial de los datos obtenidos, establecen el monto del rescate, que en algunos casos puede sobrepasar los 100.000 euros. Además, intentan localizar y destruir copias de seguridad de los sistemas antes de llevar a cabo la ejecución final del ransomware, lo que resulta en el cifrado de datos y la paralización de las operaciones de la empresa mientras se exige un rescate.
Métodos de ataque
Los métodos utilizados para llevar a cabo estos ataques pueden incluir vulnerabilidades en Protocolos de Escritorio Remoto y otros accesos insuficientemente protegidos. Las contraseñas débiles son una de las causas más comunes de accesos no autorizados, y los datos de autenticación obtenidos se comercializan en mercados oscuros. Se ha observado que muchos ataques se llevan a cabo durante los fines de semana, cuando la actividad de los equipos de seguridad es menor.
Los correos electrónicos son una vía frecuente de infección, donde los troyanos como el ladrón de información roban credenciales almacenadas. Un ejemplo de ataque podría ser un correo electrónico que aparenta ser de una empresa conocida con un archivo adjunto infectado. Los ataques más avanzados pueden utilizar diversas técnicas adicionales, como “Watering Hole Attacks”, donde las víctimas son dirigidas a sitios web específicos que han sido comprometidos.
Mejores prácticas de seguridad
Para mitigar el riesgo de ataques de ransomware, se recomienda implementar estrategias de seguridad cibernética, que incluyen el uso de antivirus, cortafuegos, sistemas de detección de intrusiones y VPNs. Sin embargo, la protección óptima nunca es del 100%, y realizar copias de seguridad adecuadas de datos críticos es fundamental. Estas copias deben almacenarse fuera de la red en dispositivos separados y ser sometidas a análisis regulares para detectar infecciones.
Asimismo, es aconsejable dividir la red en áreas con diferentes niveles de seguridad, utilizar sistemas de gestión de información y eventos de seguridad (SIEM) para monitoreo activo, y desarrollar un plan de recuperación de desastres. Este plan debe incluir protocolos claros para todos los involucrados en la gestión de crisis, asegurándose de que todos los dispositivos de los empleados y medios externos sean gestionados de forma estricta dentro de las políticas de seguridad de la organización.
La implementación de estas medidas puede reducir significativamente la probabilidad de sufrir ataques de ransomware y facilitar la recuperación en caso de que ocurran.