Categorías
Nota de Prensa

Grupos de Ransomware están apuntando a plantas de tratamiento de agua

Grupos de ransomware están apuntando a plantas de tratamiento de agua. ESET, compañía de seguridad informática, analiza sobre amenazas informáticas apuntando a plantas de tratamiento de agua potable y residual.

Grupos de Ransomware

Un comunicado firmado conjuntamente por varios organismos de Estados Unidos advierte sobre la continua actividad de amenazas informáticas apuntando a plantas de tratamiento de agua potable y residual.

ESET, compañía líder en detección proactiva de amenazas, analiza el caso y advierte sobre este tipo de ataques dirigidos, principalmente de ransomware (tipo de malware que luego de comprometer un equipo secuestra la información y exige el pago de un rescate para recuperar los datos).

Esta actividad maliciosa, que incluye ataques que buscan distribuir ransomware, amenaza a la posibilidad de suministrar agua limpia y potable a parte de la población. Además de la posibilidad de gestionar correctamente las aguas residuales de la comunidad. Esto se lee en el comunicado que sacaron de forma conjunta la Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos; el FBI; la Agencia de Protección Ambiental (EPA); y la Agencia Nacional de Seguridad (NSA).

Comunicado

Según el comunicado, que no pretende señalar que la actividad maliciosa dirigida a este tipo de infraestructuras críticas es mayor que a otras, cuatro ataques de distintas familias de ransomware penetraron plantas de tratamiento de agua potable y residuales en el último año, por lo que advierten a otras plantas que revisen posibles señales de intrusión y que tomen precauciones.

El primero de los tres casos que se registraron este 2021 es el ataque de una variante del ransomware Ghost a una planta en California. En este ataque la amenaza estuvo dentro de los sistemas durante un mes sin ser detectada hasta que pasado ese tiempo cuatro servidores SCADA mostraron el mensaje del ransomware.

Otro fue en julio, cuando el ransomware ZuCaNo logró ingresar a través de un acceso remoto en una computadora SCADA de una planta en Maine. Por último, el tercer ataque que tuvo lugar este 2021 ocurrió en marzo. En esta oportunidad los atacantes utilizaron una variante desconocida de un ransomware que afectó el sistema SCADA de la víctima y los sistemas de backup.

2021

Desde ESET señalan que febrero de este año un atacante intentó envenenar el agua para consumo en una planta de tratamiento en una ciudad de Florida tras lograr acceder a sus sistemas informáticos a través de Team Viewer. Si bien no hubo un intento de ataque de ransomware, las consecuencias de ese ataque frustrado podrían haber causado un gran impacto.

En el último tiempo, ESET identificó varios casos de ataques de ransomware a infraestructuras críticas y alertó sobre el impacto que pueden llegar a tener en la población. Uno de los que más resonó este 2021 fue el ataque a la compañía de oleoducto Colonial Pipeline en Estados Unidos a manos del ransomware Darkside. El ataque causó la interrupción del servicio y amenazó la distribución de combustible en gran parte del territorio norteamericano.

Técnicas

Por último, el comunicado detalla cuáles son las técnicas posiblemente utilizadas por los actores de amenazas para comprometer la redes, sistemas, dispositivos o infraestructura TI para entregar ransomware, y menciona correos de spearphishing, explotación de vulnerabilidades en sistemas operativos o software, y explotación de versiones desactualizadas de firmware en dispositivos de sistemas de control.

También detallaron una larga lista de medidas para prevenir, detectar y responder ante ataques de ransomware que está dirigida no solo a plantas de tratamiento de agua potable y residual de los Estados Unidos, sino del mundo. Las medidas abarcan desde actividades para monitorear el personal, mitigaciones con respecto a los accesos remotos, las redes, así como de planeamiento y a nivel de operaciones.

Entre las acciones inmediatas que este sector debería llevar adelante para prevenir cualquier actividad maliciosa se incluye, no hacer clic en enlaces sospechosos, en caso de utilizar el RDP asegurarlo como corresponde y monitorearlo, utilizar contraseñas fuertes e implementar la autenticación multi factor.

 

Camilo Gutiérrez Amaya, Jefe de Laboratorio de Investigación de ESET Latinoamérica.

ESET

ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/10/18/grupos-ransomware-estan-apuntando-plantas-tratamiento-agua/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/4Sf2hGkLa7pypcXvBG7Y1E?go=1&sp_cid=d59a556ae725637a76c4496f5e1838ec&t=2&utm_source=embed_player_p&utm_medium=desktop&nd=1

Categorías
Nota de Prensa

El Ransomware: ¿pagarías si te roban los datos de tu empresa?

El Ransomware: ¿pagaría usted si le roban los datos de su empresa? En 2021 los ataques de Ransomware se han convertido en la principal amenaza y cuestan millones de dólares al año a las empresas reponerse de estos ataques.

Cada semana, más de 1200 organizaciones en todo el mundo son víctimas de un ataque de Ransomware o «secuestro de datos» y todas las empresas, sin excepciones, están en riesgo. Según Cybersecurity Ventures, el daño causado por el Ransomware alcanzará aproximadamente US$20 mil millones este año.

Por su parte, Check Point, partner de Soluciones Seguras, reveló recientemente que los ciberataques a empresas crecieron un 29% en todo el mundo, destacando un dramático aumento global del 93% en el número de ataques de ransomware en los últimos 6 meses, impulsados por la técnica de ataque Triple Extorsión.

El Ransomware

El Ransomware empieza con tácticas sencillas, la más común es un ataque de phishing en donde envían un correo electrónico a los usuarios de la empresa para hacer clic en el mismo. Con esta acción se le entrega acceso a los cibercriminales a los archivos y sistemas de la empresa. Una vez dentro de los sistemas, el  criminal puede moverse y colocar un “secuestro” de datos y a menudo amenazando con la destrucción permanente de datos a menos que se pague un rescate.

Los ataques de ransomware se reproducen día a día a modo pandémico, y las consecuencias para las empresas son las peores, no solo pueden perder toda su información lo que puede suponer la pérdida de su negocio, sino su impacto puede ser aún más grave con la nueva tendencia de ataque de triple extorsión, donde los cibercriminales no solo llegan a las empresas sino también a sus clientes y/o socios comerciales a exigirles rescates también.

Eli Faskha, CEO de Soluciones Seguras.

Recomendaciones

Más allá de simplemente pagar el rescate, las empresas pueden tomar varias acciones que les permita responder de una manera efectiva:

Desconectar los sistemas infectados

Desconectar los sistemas infectados del resto de la red para evitar daños mayores. De manera simultánea se puede identificar la fuente de la infección. Dado que los piratas informáticos pueden haber estado en el sistema durante mucho tiempo, encontrar la fuente puede requerir de asesoría externa por parte de expertos.

Respaldos

Una de las fases del ataque suele ser un intento de localizar y cifrar o eliminar copias de seguridad, por lo tanto es recomendable realizar copias de seguridad con datos cifrados.

Mantenimiento

No realizar actualizaciones o mantenimiento de los sistemas si está siendo atacado. Eliminar archivos temporales o realizar otros cambios podría complicar las investigaciones y la solución.

Lecciones aprendidas

Una vez que descubra que ha sido infectado, es importante determinar en qué falló el proceso, ya sea un error humano o tecnológico. Esto impedirá que un suceso de este tipo se vuelva a repetir.

Soluciones Seguras

Con 20 años de experiencia en la gestión de seguridad de redes, aplicaciones y telecomunicaciones, Soluciones Seguras es la compañía líder en ciberseguridad en Centroamérica. Con un equipo de profesionales del más alto nivel, certificados por los fabricantes más reconocidos de la industria de seguridad, es el Centro Regional de Entrenamiento Autorizado Check Point número uno en la región. Cuenta con operaciones en Panamá, Costa Rica, Guatemala y El Salvador, y clientes en otros países de Latinoamérica.

Para más información visite: www.solucionesseguras.com

Categorías
Nota de Prensa

El aumento de ataques de ransomware en 2020

El aumento de ataques de ransomware en 2020 y su vínculo con el teletrabajo. La compañía de seguridad Informática, ESET, analizó el escenario que dejó el ransomware en 2020 y la influencia del teletrabajo en los ataques dirigidos a empresa y organismos gubernamentales. Su encuesta reveló que el 61.7%  de los usuarios no cree que las empresas estén preparadas para lidiar con una infección de ransomware y el 50,9% opinó lo mismo sobre las entidades gubernamentales.

Ataques de ransomware en 2020

ESET, compañía líder en detección proactiva de amenazas, advierte que el ransomware fue una de las amenazas más activas durante 2020. La compañía analizó los detalles y explica que esto se debió al incremento del teletrabajo y a que el ransomware evolucionó, haciéndose más efectivo.

Durante 2020, las bandas que operan las distintas familias de ransomware dejaron atrás las campañas masivas y al azar esperando que alguna víctima se infecte y que eventualmente pague el rescate para recuperar su información. En cambio, apuntaron a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global, llevando adelante ataques en los que secuestran mediante cifrado los archivos en los equipos comprometidos, con nuevas estrategias para demandar el pago de un rescate.

Estrategia con Plan B

El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es agregar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso.

Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.

Tendencias 2021 en ciberseguridad

Esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser detectados hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno.

 

Hay un trabajo de persistencia que realizan los atacantes una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta que permitió el acceso inicial. Además, muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valioso e identificar información sensible que, en caso de ser filtrada o comprometida, de alguna manera provocarán daños a la empresa u organización.

 

Tony Anscombe, el especialista de ESET, en el informe Tendencias 2021 en ciberseguridad.

Ransomware as-a-service (RaaS)

El aumento de los ataques dirigidos de ransomware también tiene una explicación en el modelo de negocio del ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del ransomware y luego dividirán las ganancias. Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.

Egregor

Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad. Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.

La aceleración de la transformación digital provocada por la pandemia obligó a muchas empresas y organizaciones a trabajar desde el hogar, dejando las oficinas que están preparadas con los mecanismos de seguridad necesarios para proteger el perímetro de una organización, sin capacitar a las personas acerca de las buenas prácticas de seguridad, y sin brindar en muchos casos la infraestructura necesaria para trabajar de manera segura.

Encuesta ESET

De hecho, según una encuesta realizada por ESET en plena pandemia, solo el 24% de los usuarios dijo que la organización para la cual trabaja le brindó las herramientas de seguridad necesarias para trabajar remotamente y el 42% de los participantes aseguró que su empleador no estaba preparada en cuanto a equipamiento y conocimientos de seguridad para hacer frente al teletrabajo.

En este sentido, muchas personas teletrabajando equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y con profesionales —e incluso empresas— que en el apuro o por desconocimiento no lograron implementar un plan para trabajar remotamente de manera segura. Este escenario provocó un aumento en la superficie de ataque.

Según datos de una encuesta realizada por ESET en diciembre pasado, el 87,67% de los participantes opinó que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto para lanzar ataques dirigidos a las empresas. Además, consultados acerca de si creen que las empresas y las entidades gubernamentales están preparadas para lidiar con ataques de ransomware, el 67,76% opinó que apenas unas pocas empresas lo están, mientras que el 50,96% considera que solo unas pocas entidades gubernamentales cuentan con las capacidades.

Ataque con acceso a la red

En un ataque informático, si un usuario cae en la trampa y abre un correo de phishing dirigido para luego hacer clic en un enlace o abrir un archivo adjunto, su equipo será comprometido con un malware que puede a su vez descargar otro código malicioso como un ransomware. Si luego accede a la red corporativa conectándose al servicio VPN que la empresa o la entidad gubernamental le brinda, el acatante tendrá acceso a la red y podrá moverse lateralmente para recolectar información y buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red.

Protocolo de escritorio remoto (RDP)

El uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware aprovechando también el uso de contraseñas débiles. Si bien los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de intrusión más utilizado por ataques de ransomware durante 2020.

De hecho, en el primer trimestre del año pasado ESET reportó el aumento de los intentos de ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América Latina para el mes de noviembre había sido del 141%, con picos que llegaron hasta los 12 mil intentos de ataque diarios al protocolo. Una vez que el atacante logra comprometer la seguridad mediante el RDP puede realizar distintos tipos de actividades maliciosas dentro de los sistemas.

Recomendaciones ESET

Desde ESET mencionan que esto no impide a las organizaciones a operar de manera remota, sino que deberán dedicar tiempo y recursos para capacitar a los usuarios de manera que cuenten con más herramientas y estén mejor preparados para lidiar con las distintas amenazas y riesgos en Internet.

Asimismo, recomiendan como pasos básicos el acompañar la educación de los usuarios con la adecuada tecnología, el uso de una VPN, la realización de backups de forma periódica, una política de actualizaciones para corregir vulnerabilidades, la implementación de la autenticación multifactor y de estrategias de seguridad como el principio del menor privilegio y de la mínima exposición, por nombrar algunas. Por otra parte, es recomendable que las organizaciones evalúen los mecanismos de accesibilidad a la información y cuáles son las formas que puede tener un atacante para llegar a estos datos.

ataques de ransomware en 2020

“Pagar el rescate no es la opción recomendada. Por un lado, porque nada asegura que la víctima recuperará los archivos cifrados y tampoco que los criminales no divulgarán los datos robados. Además, de esta manera se está financiando el ciberdelito y colaborando para que continúen los ataques.”,

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET camparte una infografía sobre los ataques de ransomware en 2020 a partir de los datos que dejó la encuesta:

Para más información, ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención: https://www.eset-la.com/kit-Antiransomware

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/01/14/ataques-ransomware-vinculo-teletrabajo/

 

Categorías
Nota de Prensa

Ransomware: Países con mayor cantidad de detecciones

Perú, México y Brasil, los países con mayor cantidad de detecciones de ransomware en Latinoamérica

A lo largo del 2019 se reportaron ataques de ransomware a nivel mundial. En estos se utilizaron distintos vectores de ataque como método de infección: mensajes SMS, avisos publicitarios, backdoors, entre otros. ESET, analiza lo que ocurrió con el ransomware durante el 2019 a nivel global y sobre todo en América Latina.

Luego de lo que fue el brote del ransomware WannaCry en 2017, era esperable que usuarios y empresas tomaran conciencia del impacto que puede tener una amenaza como el ransomware en caso de ser víctimas de un ataque. Sin embargo, todo indica que aún falta concientización sobre las consecuencias del ransomware y sobre todo acerca de cómo prevenir este tipo de incidentes de seguridad.

Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Ransomware

El ransomware en general continúa siendo una amenaza sumamente vigente con la particularidad de que apunta a blancos más específicos. En países como Estados Unidos, los ataques de ransomware dirigidos a organismos gubernamentales y centros hospitalarios causaron un gran impacto operativo y financiero. En ciudades como Texas, al menos 22 entidades gubernamentales fueron afectadas por un ataque del ransomware llamado Sodinokibi.

Los ataques de ransomware también estuvieron presentes en países de habla hispana. En noviembre, a los ataques de ransomware que afectaron a Cadena Ser y a la consultora Everis en España se sumó a finales de ese mismo mes el ataque del ransomware Ryuk a la compañía Prosegur.

En Latinoamérica, para el 2019 hubo una caída en las detecciones mensuales de ransomware con respecto al 2018. Esto no implica que este tipo de amenaza no haya tenido una actividad importante. La empresa Petróleos Mexicanos, fue víctima del ransomware DoppelPaymer. Mientras que en Argentina, el gobierno de la provincia de San Luis declaró la emergencia luego de ser víctima de un ataque.

Este estaba dirigido a un data center que comprometió la base de datos del sistema de expedientes. Los mensajes que dejaron los cibercriminales y que se conocieron en algunos de estos casos evidenciaban la direccionalidad de los ataques. Ya que los atacantes explicaban que el monto solicitado para recuperar los archivos eran fijados de acuerdo a características de la empresa apuntada.

Análisis

Según el análisis de ESET en Latinoamérica, la lista de países en los cuales se registró la mayor cantidad de detecciones durante el último año la lideró Perú; con poco más del 20% del total de las detecciones, seguido por México y luego Brasil.

Al observar las detecciones a nivel regional; ESET identificó que en primer lugar se encuentran distintas variantes de la familia Crysis, con poco más del 27%, seguido por WannaCryptor y ED.

En cuanto a plataformas, Windows es la más afectada, ya que hay varias familias que pueden infectar a equipos multiplataforma, y capta casi el 99% de las variantes.

Para ESET, la vigencia de los ataques de ransomware demuestra la importancia de tener los equipos protegidos con una solución de seguridad por capas. Tanto los dispositivos de escritorio como los móviles. Además, recuerda la importancia de instalar las actualizaciones de seguridad de cada una de las tecnologías y dispositivos que se utilizan tanto en las empresas o el hogar.

ESET cuenta con un Kit Anti-Ransomware, el mismo es gratuito e incluye diferentes herramientas educativas y tecnológicas que pueden ayudar a evitar las infecciones con el ransomware.

Para las empresas, recomendamos la lectura del documento “Ransomware: an Enterprise perspective”, en el cual el investigador de ESET, Stephen Cobb, explica por qué el ransomware continúa siendo una amenaza peligrosa y qué deberían hacer las empresas para reducir la exposición y el daño ante este tipo de amenaza.

Gutierrez

Se destaca la importancia de la capacitación en el interior de las empresas. Ya que cualquier dispositivo conectado a la infraestructura de la misma puede ser un vector de entrada para un código malicioso. Por último, como factor clave para una estrategia de seguridad sea hogareña o corporativa el contar con respaldos la información de valor.