Los ataques de ransomware se encuentran entre las infracciones de ciberseguridad más comunes, principalmente porque son relativamente fáciles de ejecutar. Durante los ataques de ransomware, los ciberdelincuentes se dirigen a personas o empresas bloqueándolas de sus sistemas informáticos y manteniendo sus datos como rehenes, después de lo cual las víctimas reciben instrucciones de pagar un rescate para que se les restablezca el acceso.
Durante el año pasado quedó claro que muchas empresas y organizaciones, grandes y pequeñas, no están adecuadamente protegidas contra este tipo de ciberdelito, que puede tener consecuencias desastrosas. El mayor pago de ransomware de este año fue realizado por la compañía de seguros estadounidense CNA Financial. Para recuperar el control de su red después de un ataque de ransomware en marzo, la empresa pagó $ 40 millones, estableciendo un récord mundial.
¿Qué es exactamente el ransomware?
Puede convertirse en víctima de ataques de ransomware cuando el malware ingresa a su computadora a través de un sitio web que ha sido pirateado (o un sitio web legítimo con anuncios maliciosos), cuando descarga archivos infectados, cuando instala aplicaciones o programas de fuentes desconocidas, cuando abre un adjunto o enlace malicioso en un correo electrónico, y de varias otras formas. El ransomware le bloquea el acceso a su computadora e impide el acceso a sus datos hasta que realice un pago importante en criptomonedas. Es muy difícil defender sus sistemas contra este tipo de malware, mientras que el código detrás de él es fácil de obtener a través de los mercados criminales en línea.
El ransomware a menudo se dirige a organizaciones con grandes volúmenes de datos confidenciales (consumidores) y pólizas de seguro cibernético, lo que las hace más propensas a pagar grandes sumas de dinero, como instituciones médicas, organizaciones gubernamentales, cadenas de supermercados, conglomerados de medios, bancos, universidades, etc. . "Se han producido muchos ataques de ransomware de alto perfil en hospitales u otras organizaciones médicas, que son objetivos tentadores: los atacantes saben que, con vidas literalmente en juego, es más probable que estas empresas paguen un rescate para hacer desaparecer un problema", según al blog de ciberseguridad CSO.
¿Por qué el reciente aumento de los ataques de ransomware?
En junio de 2021, aproximadamente 1.210 empresas por semana fueron objeto de ataques de ransomware en todo el mundo, y los sectores del transporte, el comercio minorista y la educación experimentaron los mayores aumentos en los ataques. Estos ataques han experimentado un aumento porque cada vez es más fácil para los ciberdelincuentes ejecutarlos. Los piratas informáticos pueden aprender fácilmente qué hacer en sitios como YouTube y acceder sin esfuerzo al software como servicio de ransomware. Los métodos de pago también son cada vez más fáciles, gracias a las transferencias anónimas en criptomonedas que permiten extorsiones exorbitantes. Y debido a nuestra creciente dependencia de la infraestructura digital, las víctimas están más dispuestas a pagar. Esto lo convierte en un negocio lucrativo, que anima a los ciberdelincuentes a aumentar sus intentos.
“El negocio del ransomware está en auge. Estamos viendo aumentos globales de ransomware en todas las geografías importantes, especialmente en los últimos dos meses. Creemos que la tendencia está impulsada por decenas de nuevos participantes en el negocio del ransomware ”, según Lotem Finkelstein, director de inteligencia de amenazas de Check Point Software. Otra razón por la que los ataques de ransomware van en aumento es el uso cada vez mayor de Internet. Como resultado de la pandemia, millones de personas en todo el mundo se han visto obligadas a trabajar y aprender en línea.
Ataques de ransomware notables en 2021
Estamos un poco más de la mitad del año y ya hemos visto un aumento increíble en el número y la gravedad de los ataques de ransomware, incluidos los que han batido récords. Ni siquiera las organizaciones que ofrecen seguridad o seguros contra estos ataques se han visto afectadas. Como resultado del impacto de la interrupción, el tiempo de inactividad, los datos expuestos y las pérdidas financieras, muchas víctimas sucumbieron a las demandas, aunque no todos los atacantes habían garantizado el acceso completamente restaurado a los datos. Aquí hay una descripción general de los ataques de ransomware más notables de este año.
Kia Motors
En febrero de este año, Kia Motors America, que tiene su sede en California, fue víctima de un ataque de ransomware por parte de la banda de ransomware DopplePaymer. Kia no confirmó oficialmente el ataque, aunque la empresa informó sobre interrupciones generalizadas de TI, servicios telefónicos y sistemas de pago, así como interrupciones de aplicaciones específicas de los distribuidores que duraron días. El ataque afectó a muchos sistemas importantes, como los necesarios para que los clientes reciban la entrega de vehículos recién comprados, y afectó la atención al cliente de Kia, los portales de autoayuda y las aplicaciones móviles UVO Link, lo que provocó que los clientes no pudieran acceder a funciones como el inicio remoto. en sus coches. Según los expertos, el ataque estuvo acompañado de una nota de ransomware, que afirmaba que se había exfiltrado una cantidad significativa de datos de la empresa.
CNA Financial
En marzo, CNA Financial, uno de los proveedores de seguros comerciales más grandes del mundo, se vio afectado por un sofisticado ataque de ransomware, que provocó interrupciones generalizadas en la red. Dos semanas después de que los piratas informáticos robaran los datos de CNA y bloquearon sus sistemas, la aseguradora pagó la friolera de 40 millones de dólares de rescate, informó Bloomberg . Los atacantes, que supuestamente están conectados al sindicato cibernético Evil Corp respaldado por Rusia, utilizaron una nueva versión del malware Phoenix CryptoLocker, encriptando datos en más de 15,000 computadoras en la red de CNA, así como las computadoras de trabajadores remotos que estaban conectados a la misma red.
Según fuentes acreditadas, CNA inicialmente ignoró las demandas de los piratas informáticos y buscó opciones para recuperar sus datos sin interactuar con los ciberdelincuentes. Una semana después, la empresa entró en negociaciones con los piratas informáticos, que inicialmente exigieron 60 millones de dólares. Según un funcionario de la CNA, el ataque de ransomware tardó aproximadamente tres semanas en resolverse, después de lo cual se restauraron los sistemas y no se comprometieron las cuentas de los clientes.
Ejecutivo de servicios de salud de Irlanda (HSE)
El 14 de mayo, a raíz de un ataque de ransomware catastrófico por parte del grupo de ransomware Conti, el Ejecutivo de Servicios de Salud de Irlanda (HSE), la organización gubernamental que administra todos los servicios de salud pública en Irlanda, cerró sus sistemas de TI como medida de precaución, haciendo que la computadora registros inaccesibles. El acceso a muchos servicios de salud se vio interrumpido, lo que provocó retrasos y cancelaciones para los pacientes. En muchos centros de salud, se pidió a los pacientes que trajeran documentos en papel. Durante el ataque, se accedió y se filtraron algunos datos de pacientes y personal, incluida información médica, nombres, direcciones (de correo electrónico) y números de teléfono.
En una declaración en su sitio web, HSE declaró: “Ha aparecido una pequeña cantidad de datos de HSE en la web oscura. Se están tomando medidas para ayudar a las personas afectadas por esto ”. El 5 de julio, los servicios de salud seguían estando gravemente interrumpidos tras el ataque de ransomware. A pesar de esto, ni el HSE ni el gobierno estaban dispuestos a pagar el rescate de 20 millones de dólares. En un giro inesperado de los acontecimientos, el grupo de ransomware Conti entregó la herramienta de descifrado para restaurar la red. En su sitio web en la darknet, Conti le dijo al HSE que “estamos proporcionando la herramienta de descifrado para su red de forma gratuita. Pero debe comprender que venderemos o publicaremos una gran cantidad de datos privados si no nos conecta y trata de resolver la situación ".
Oleoducto colonial
El 7 de mayo, Colonial Pipeline Company, que opera el oleoducto más grande de los EE. UU. Y proporciona casi la mitad del suministro de combustible de la costa este, informó que había sido víctima de un ataque de ransomware. El ataque, que estaba vinculado al grupo de hackers con sede en Rusia Darkside y, según se informa, fue el mayor ciberataque jamás realizado contra un sistema energético estadounidense, obligó a la compañía a deshabilitar el oleoducto y cerrar varios de sus sistemas. El cierre duró varios días y provocó compras de pánico, picos de precios y escasez de combustible. Joseph Blount, director ejecutivo de Colonial Pipeline, dijoque autorizó el pago de rescate de $ 5 millones porque los ejecutivos no estaban seguros de cuán gravemente se violaron los sistemas de la compañía y no estaba seguro de cuánto tiempo tomaría recuperar el oleoducto. “No me lo tomé a la ligera. Debo admitir que no me sentía cómodo viendo que el dinero se le escapaba a gente como esta. Pero fue lo correcto para el país ". Posteriormente, los funcionarios encargados de hacer cumplir la ley estadounidenses recuperaron 2,3 millones de dólares del grupo de piratas informáticos.
JBS
Poco después del ataque de Colonial Pipeline Company, el empacador de carne global JBS USA fue el siguiente en ser afectado por un ataque de ransomware, que obligó a la compañía a cerrar sus operaciones en Canadá, Australia y los EE. UU., Lo que amenazó el suministro de alimentos y arriesgó precios más altos para los consumidores. . Según un comunicado emitido por JBS, las instalaciones globales de la compañía volvieron a estar en funcionamiento después de que se resolvió el ciberataque, acreditando su propia "respuesta rápida, sistemas de TI robustos y servidores de respaldo cifrados".
Sin embargo, un tiempo después, la compañía confirmó que había pagado $ 11 millones al grupo de piratería REvil vinculado a Rusia (también conocido como Sodinokibi) para asegurarse de que no se exfiltraran datos, para evitar una mayor interrupción de la producción y limitar el impacto en los agricultores, los supermercados. tiendas y restaurantes. Sin embargo, una gran parte de las instalaciones de JBS estaban operativas en el momento del pago. “Los resultados de la investigación preliminar confirman que ningún dato de empresa, cliente o empleado se vio comprometido”, según el fabricante de carne. Si bien el FBI desaconseja el pago de rescates, JBS dijo que había consultado con expertos en ciberseguridad de terceros "para mitigar cualquier problema imprevisto relacionado con el ataque y garantizar que no se exfiltrara ningún dato".
Supermercados Coop en Suecia
El 3 de julio, como resultado de un catastrófico ataque de ransomware, cientos de supermercados Coop en Suecia tuvieron que cerrar sus puertas ya que sus cajas de puntos de venta y cajas de autoservicio se habían vuelto inoperantes, lo que impedía a los empleados de Coop procesar pagos. Solo cinco de las más de 800 tiendas de Coop no se habían visto afectadas. El ataque no estaba dirigido directamente a Coop, sino que fue parte de un ataque mundial en el que la empresa de software con sede en Miami Kaseya, un proveedor de soluciones de aplicaciones de administración remota, fue el objetivo principal.
Al explotar las brechas de seguridad del software, los ciberdelincuentes lograron infectar a otras 1.000 empresas en todo el mundo que utilizan los sistemas de los clientes de Kaseya con el troyano de cifrado REvil disfrazado de actualización de software. El ransomware bloqueó los datos en archivos cifrados, después de lo cual los piratas informáticos exigieron 70 millones de dólares para restaurar los datos. Además de la cadena de tiendas Coop, muchas otras empresas de todo el mundo se vieron afectadas por este ataque. Ciaran Martin, profesor de ciberseguridad en la Universidad de Oxford, dijo que este era "probablemente el mayor ataque de ransomware de todos los tiempos". Los criminales que se atribuyeron la responsabilidad del ataque dijeron que habían infectado más de un millón de sistemas.
¿Cómo se pueden prevenir las infecciones por ransomware?
Debido a su facilidad de uso y rentabilidad, los ataques de ransomware son cada vez más desenfrenados. Andrei Mochola, director de negocio de consumo de Kaspersky Lab, dice : “Instamos a todas las víctimas de ransomware, ya sean grandes organizaciones o individuos individuales, a que no paguen el rescate exigido por los delincuentes. Si lo hace, estará apoyando los negocios de los ciberdelincuentes. Y, como muestra nuestro estudio, no hay garantía de que pagar el rescate realmente le dé acceso a sus datos cifrados ". La prevención es la mejor cura, y hay muchas cosas que puede hacer para asegurarse de no convertirse en la próxima víctima de un ataque de ransomware.
En primer lugar, es importante obtener el mejor sistema de seguridad que pueda pagar. Mantenerse alerta es otra forma de evitar la infección por ransomware. Si nota que sus sistemas se están ralentizando, desconéctese de Internet, apague sus sistemas y obtenga ayuda de su proveedor de seguridad de red. También es importante capacitar a los miembros del personal sobre los peligros del ciberdelito y concienciarlos de la importancia de la ciberseguridad. Utilice el cifrado de datos para proteger la información personal, los correos electrónicos y los intercambios de archivos. Realice copias de seguridad periódicas de sus datos. Prevenga y solucione vulnerabilidades actualizando las aplicaciones con regularidad e instruya a los empleados para que utilicen diferentes contraseñas para las distintas aplicaciones que utilizan.
Fuente: richardvanhooijdonk.com