Ransomware PYSA: características de uno de los grupos más activos de 2021

Analizamos las principales características del ransomware PYSA, uno de los grupos más activos en 2021 que entre sus víctimas tiene a organizaciones de Argentina, Brasil, Colombia y México.

Qué es el ransomware PYSA

PYSA (acrónimo de Protect Your System Amigo) es un malware de tipo ransomware, una amenaza focalizada en secuestrar los archivos del equipo infectado cifrándolos y solicitando el pago de un rescate, generalmente en criptomonedas. Además, las familias más nuevas recurren a técnicas para extorsionar a la víctima que no acceda al pago, como la exfiltración de los archivos y el cold-calling (llamadas telefónicas presionando a las compañías).

El ransomware PYSA, una variante del ransomware Mespinoza surgido en octubre del 2019, es una amenaza que opera bajo el modelo de Ransomware-as-a-Service (RaaS,) que surgió en diciembre del 2019 y que tomó notoriedad durante fines del 2020 como muchas otras amenazas. El hecho de que funcione como un RaaS implica que los desarrolladores de este ransomware reclutan afiliados que se encargan de la distribución de la amenaza a cambio de un porcentaje de las ganancias que obtienen de los pagos que realizan las víctimas para recuperar sus archivos del cifrado.

PYSA cayó en la mira de instituciones como el FBI y la agencia de ciberseguridad de Francia por las víctimas de alto calibre que fueron afectadas: Instituciones educativas de todos los niveles, como la Universidad Autónoma de Barcelona y otras universidades, así como agencias gubernamentales europeas, grandes proveedores del sector salud, entre otros.

Este perfil de los blancos de ataque se debe, probablemente, a que las víctimas están más inclinadas a querer recuperar sus archivos a toda costa (y, por lo tanto, acceder al pago) aún si no son compañías con un gran capital.

Como muchos otros grupos de ransomware, los operadores detrás de PYSA cuentan con un sitio en la Dark web que se actualiza con información de sus víctimas más recientes, así como los archivos exfiltrados de aquellas compañías que no hayan realizado el pago. Según Darktracer, en noviembre de 2021 acumulaba un total de 307 víctimas, de las cuales 59 se registraron ese mismo mes. Revisando los nombres de las víctimas en su sitio, identificamos organizaciones de España y de algunos países de América Latina, como Argentina, Brasil, Colombia y México.

Imagen 1: Entrada en el blog del ransomware PYSA con los detalles de una víctima española y la opción para para descargar los archivos

¿Cómo se distribuye el ransomware PYSA?

A diferencia de otras familias de ransomware conocidas, como Wannacry, PYSA utiliza la estrategia “operación humana” para su distribución e infección, ya que no se aprovecha de vulnerabilidades técnicas de manera automatizada. Por el contrario, los ataques de PYSA buscan obtener acceso a los sistemas de su víctima generalmente mediante:

  • Correos electrónicos con phishing elaborados a medida del objetivo (spearphishing).
  • Ataques de fuerza bruta contra sistemas desprotegidos con el protocolo RDP expuestos públicamente.

Además, y previo a la descarga del ransomware en el sistema de la víctima, los operadores detrás de PYSA utilizan herramientas relacionadas al pentesting para realizar tareas de reconocimiento dentro de los sistemas para recolectar otras credenciales, escalar privilegios, moverse lateralmente dentro de la red comprometida, etc.Lectura recomendada: Vulnerabilidades más utilizadas por grupos de ransomware para obtener acceso inicial

Comportamiento del ransomware PYSA en un equipo infectado

Al ejecutarse, PYSA crea un mutex para asegurarse que no haya otras instancias del ransomware corriendo en el mismo equipo. Si este ya existe, la amenaza finaliza su ejecución para prevenir un posible doble cifrado de los archivos de la víctima.

De continuar su ejecución, la amenaza sigue una lista de pasos muy específica:

  • Crea hilos de ejecución que se encargarán del mecanismo de cifrado.
  • Modifica de los registros del sistema para que la nota de rescate que se muestra a la víctima se abra cada vez que el equipo inicia.
  • Prepara un script, llamado update.bat, para luego remover cualquier rastro de la amenaza en materia de archivos.
  • Examina el sistema de archivos del equipo y genera dos listas, llamadas Allowlist y blacklist. En la primera, se incluyen archivos cuyas extensiones coincidan con una larga lista de extensiones interesantes, como .doc, .db, .zip, entre otros, y sean de mayor tamaño a 1 KB. En la segunda, se incluyen directorios críticos para el funcionamiento del sistema (como “C:\Windows”), ya que cifrarlos dificultaría el posible descifrado por parte de los atacantes. Al finalizar, todo archivo o directorio que no esté incluido en ninguna de las dos listas es marcado como “Allow”.
  • Cifra el contenido de la lista “Allowlist” y no modifica aquellos archivos en la blacklist.

Para el cifrado de los archivos, PYSA utiliza una técnica híbrida: Primero se cifran con el algoritmo de cifrado simétrico AES-CBC, el cual utiliza una llave y un vector de inicialización. Estas dos piezas de información, con las cuales se podría deshacer el cifrado, son luego cifradas bajo el algoritmo RSA.

Imagen 2: Ejemplo de directorio de un dispositivo cifrado por PYSA con la extensión .pysa.

Una característica interesante de esta amenaza es que el pago del rescate se realiza de forma directa con los atacantes. Más específicamente, le indican a la víctima que se contacte con ellos mediante varios correos electrónicos de Protonmail, un servicio de correo que se destaca por su alto grado de anonimato.

Imagen 3: Nota de rescate dejada por el ransomware PYSA.

Luego de finalizar con su accionar, utiliza el script mencionado anteriormente para eliminar tanto la carpeta que se creó temporalmente (con la ruta <directorio donde PYSA fue ejecutado>/pysa), así como el propio script almacenado en la carpeta C:\Users\<usuario>\AppData\Local\Temp.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/12/27/ransomware-pysa-principales-caracteristicas/

El ransomware en 2021: datos, principales ataques y grupos más activos

El ransomware continuó siendo unas de las amenazas informáticas más peligrosas durante 2021 y registró mayor cantidad de grupos en actividad, mayor cantidad de ataques y pagos más elevados.

Sin dudas que el ransomware ha dado que hablar este 2021 y se ha convertido en la amenaza informática qué más preocupación genera a nivel global, tanto a empresas de todas las industrias como a organismos públicos. El dinero recaudado por estas bandas criminales sigue en acenso y los montos demandados por los rescates también, lo que demuestra que continúa siendo un negocio redituable y atractivo para los cibercriminales.

Según datos revelados por la oficina de Control de Crímenes Financieros (FinCEN) de los Estados Unidos, solo en este país, entre enero y junio de este año el promedio mensual de transacciones en Bitcoin que se sospecha están relacionadas con el ransomware es de 66.4 millones de dólares. Solo en el ataque a  Kaseya, los operadores detrás del ransomware REvil demandaron un pago de 70 millones de dólares por la herramienta de descifrado para que las víctimas pudieran recuperar los archivos secuestrados.

La cantidad de ataques de ransomware casi se duplicó en 2021. Hasta el mes de noviembre se habían registrado más de 2300 organizaciones víctimas cuyos nombres fueron publicados en sitios de la Dark web controlados por los atacantes, mientras que en 2020 se registraron cerca de 1300 organizaciones víctimas, informó DarkTracer.

Algunas de las bandas detrás de estos códigos maliciosos concentran la mayor cantidad de víctimas y generalmente son las que gozan de una mayor reputación, lo cual les permite demandar elevadas sumas de dinero que vemos en los titulares de los medios. Sin embargo, la realidad indica también que existen muchos otros grupos de ransomware que también operan bajo el modelo de ransomware-as a-service (RaaS), que tienen menor actividad y reputación, pero que también conforman la escena bastante saturada del ransomware en la actualidad. Teniendo en cuenta la heterogeneidad de estos grupos en cuanto a cantidad de víctimas, número de afiliados, reputación y demás, según datos de Coveware correspondientes al tercer trimestre de 2021, el monto promedio que las víctimas pagan por un ataque de ransomware es de 139.739 dólares.Lecturas recomendadas:

Ransomware: qué es y cómo funciona

Ransomware: ¿Pagar o no pagar? ¿Es legal o ilegal?

Ataques de ransomware qué más repercusión tuvieron en 2021

En 2020 los ataques dirigidos de ransomware crecieron exponencialmente, así como la cantidad de grupos de ransomware en actividad, los montos solicitados y las ganancias que percibieron estas bandas criminales por los pagos de los rescates. Pero en 2021, además de continuar en esta curva ascendente en la cantidad de grupos, montos solicitados y ganancias, se registraron ataques a infraestructuras críticas que tuvieron gran repercusión.Lectura relacionada: Grupos de ransomware están apuntando a plantas de tratamiento de agua

Hablamos, por ejemplo, del ataque a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, que sufrió un ataque del ransomware DarkSide en mayo que provocó el corte de suministro de combustible en gran parte de los Estados Unidos.

Otro ataque que quedará en la historia fue el de Kaseya. El grupo REvil aprovechó una vulnerabilidad zero-day en el software de gestión de TI Kaseya VSA (utilizado comúnmente por proveedores de servicios administrados) y mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software, comprometieron a más de 1500 compañías en varios países. Luego, demandaron la millonaria cifra de 70 millones de dólares por un descifrador para todas las víctimas.

Más allá de estos casos, han sido varios los ataques de ransomware que en 2021 tuvieron un gran impacto por la magnitud de sus víctimas y las consecuencias (muchos los hemos cubierto en WeLiveSecurity). Por ejemplo, el que sufrió la empaquetadora de carne norteamericana, JBS, por parte de REvil, el ataque de Conti al sistema de salud de Irlanda, o los ataques a las compañías de seguro CNA de Estados Unidos y AXA de Francia por parte de los ransomware Phoenix y Avaddon respectivamente. En el caso de AXA, casualmente la compañía ofrecía seguros contra ataques de ransomware y una semana antes de sufrir el incidente había dejado de ofrecer este servicio.

Aumento en la cantidad de víctimas de ransomware en 2021 con respecto a 2020

Según información publicada por DarkTracer, compañía que se dedica a monitorear la actividad de los grupos de ransomware en la Dark web, desde el 1 de enero de 2019 al 9 de noviembre de 2021 un total de 53 bandas de ransomware afectaron a 3.767 organizaciones.

Para comprender mejor estas cifras, entre 2019 y 2020 un total de 22 grupos de ransomware afectaron afectado a 1.315 organizaciones. Si dejamos de lado el aumento de los grupos en el acumulado y nos detenemos solamente en el número de víctimas, esto quiere decir que solo en 2021 se registraron más de 2.452 organizaciones afectadas en ataques de ransomware; una cifra bastante superior a las 1315 que se registraron sumando los dos años previos y que muestra a las claras el crecimiento en la cantidad de víctimas.

Si bien la escena es muy dinámica y muchos grupos dejan de operar para luego resurgir con un nuevo nombre, cambios en el código y una nueva red de afiliados, cuando esto sucede generalmente quedan fuera de servicio los sitios que utilizan en la Dark web para publicar la información robada y el nombre de sus víctimas. Teniendo esto en cuenta, en septiembre observamos que la cantidad de sitios activos pertenecientes a grupos de ransomware habían aumentado y eran más de 40, dándonos una idea sobre la cantidad de grupos de ransomware en actividad durante 2021.

Vectores de ataque más utilizados por los grupos de ransomware

Aparte de algunos ataques en particular, como el ataque a Kaseya utilizando una zero-day en el software Kaseya VSA que demuestra la evolución del ransomware en cuanto a capacidad de estas bandas, en general los vectores para obtener acceso inicial más utilizados siguen siendo los mismos que el año anterior; es decir, ataques de phishing, explotación de vulnerabilidades o ataques al protocolo de escritorio remoto (RDP).

Por otra parte, en este artículo encontrarán más información sobre las vulnerabilidades comúnmente explotadas en ataques de ransomware según la industria.

Más allá de la explotación de vulnerabilidades, los ataques de phishing siguen siendo un recurso utilizado por los criminales y también los ataques al escritorio remoto (RDP). En este sentido, si bien en 2020 los ataques de fuerza bruta al RDP crecieron 768% entre el primer y último trimestre de 2020, en 2021 el panorama se mantuvo igual. En América Latina, por ejemplo, las detecciones de ataques de fuerza bruta a clientes RDP creció un 32%.Lectura recomendada: Por qué desconectar RDP de Internet para evitar ser víctima de un ataque

Cuáles fueron los grupos de ransomware con mayor actividad en 2021

A comienzos de este año repasábamos cuáles habían sido las bandas más activas durante 2020 y veíamos que Ruyk, Maze, Doppelpaymer, Netwalker, Conti y REvil, en ese orden, habían sido los más activos. En 2021 algunos nombres se repiten, ya que, si bien grupos como Maze o Netwalker dejaron de operar, al igual que otros que también tuvieron actividad importante en 2021, como es el caso de Avaddon, en noviembre Conti registraba un total de 599 víctimas acumuladas y se convertía a casi un mes de finalizar el año en el grupo de mayor actividad en 2021

Las otras familias más activas en 2021 fueron Lockbit 2.0, Pysa y REvil. Todas estas bandas no solo se cobraron muchas víctimas a lo largo y ancho del mundo, sino también en la región de América Latina.

Ransomware REvil (Sodinokibi)

En el caso de REVil, también conocido como Sodinokibi, si bien hace poco dejó de operar, esta familia que venía en actividad desde 2019 fue responsable del ataque de Kaseya, pero también de otros ataques muy importantes. Por ejemplo, el que impactó a la compañía de alimentos JBS que decidió pagar a los atacantes 11 millones de dólares. Otro ataque de REvil que tuvo gran repercusión fue el ataque a Quanta Computer, un proveedor de Apple, así como el ataque a Sol Oriens, una empresa contratada para trabajar con la Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA, por sus siglas en inglés), además de otras agencias federales.

Varias industrias fueron afectadas por REvil, como la industria manufacturera (19%), servicios legales (15.5%) y la industria de servicios (11,9%). En América Latina, las víctimas de REvil están en Argentina, Brasil, Colombia y México.

Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet, exploit kits y explotación de vulnerabilidades.

Ransomware Conti

Esta familia de ransomware fue detectada por primera vez en 2019 y fue una de las más activas en 2021. En noviembre, el número de víctimas acumuladas desde sus inicios daba cuenta que es el grupo qué más organizaciones afectó con 599.https://platform.twitter.com/embed/Tweet.html?creatorScreenName=welivesecurity&dnt=false&embedId=twitter-widget-1&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1458332587433205762&lang=es&origin=https%3A%2F%2Fwww.welivesecurity.com%2Fla-es%2F2021%2F12%2F20%2Fransomware-2021-datos-ataques-grupos-mas-activos%2F&sessionId=394439f4629b73fddcc1b0edb93b72498aed0a77&siteScreenName=welivesecurity&theme=light&widgetsVersion=9fd78d5%3A1638479056965&width=550px

Entre los ataques qué más trascendieron en 2021 se destaca el que impactó al sistema de salud de Irlanda y que provocó la interrupción en el funcionamiento de sus sistemas. Vale la pena mencionar que atacó a otras 16 instituciones de salud de Estados Unidos. Sin embargo, si revisamos cuáles fueron las industrias qué más padecieron a esta banda, la industria manufacturera aparece como la principal, seguida por la industria de la alimentación y en tercer lugar sectores como el financiero, servicios TI y la construcción.

Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. En el caso de los correos de phishing, se ha observado el uso de documentos adjuntos maliciosos utilizados para descargar malware como TrickBot, Bazar backdoor, o aplicaciones legítimas usadas de forma maliciosa (como Cobalt Strike) para realizar movimiento lateral sobre la red de la víctima y luego descargar el ransomware.

Entre los países de América Latina que sufrieron este malware figuran Argentina, Brasil, Colombia, Nicaragua, República Dominicana.Lectura recomendada: Ransomware Conti: principales características y cómo operan sus afiliados

Ransomware Lockbit 2.0

La primera variante de esta familia fue detectada entre septiembre de 2019 y enero de 2020 bajo el nombre Lockbit y desde junio de 2021 cambió a Lockbit 2.0. Según publicaron los criminales en su sitio, esta nueva versión incluye una función para el robo de información conocida como “StealBit” que permite descargar automáticamente y de manera veloz todos los archivos de los sistemas de la víctima. Asimismo, el grupo asegura contar con el software de cifrado más rápido (373MB/s) en comparación con el que utilizan otros grupos de ransomware.

En noviembre de 2021 acumulaba un total de 348 organizaciones afectadas. Uno de los ataques más recordados fue el que impactó a Accenture y en el cual solicitaron un rescate de 50 millones de dólares.

En cuanto a la forma de distribuirse, esta familia utiliza correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades en software, como soluciones VPN.

Entre los países de América Latina que sufrieron Lockbit 2.0 figuran Brasil, México, Perú, Venezuela, Panamá.

Ransomware Pysa

Esta familia surgió a fines de 2019 pero tomó notoriedad a fines de 2020 con ataques a instituciones educativas, agencias gubernamentales, instituciones de salud, entre otras. En noviembre de 2021 el número de organizaciones víctimas era 307 desde sus inicios.

Los métodos de distribución más utilizados por Pysa son los correos de spearphishing y ataques al servicio de escritorio remoto (RDP).

Entre los países de América Latina que sufrieron al ransomware Pysa aparecen Argentina, Brasil, Colombia y México. 

Ransomware Avaddon

Si bien las primeras apariciones de Avaddon son de fines de 2019, no fue hasta la primera mitad de 2021 que tuvo gran actividad a nivel global, y sobre todo en América Latina, registrando víctimas en Brasil, Chile, Colombia, Costa Rica, México y Perú. Sin embargo, dejó de operar en junio de 2021 y compartió las claves de descifrado para que las víctimas puedan recuperar los archivos.

Según el Centro de Ciberseguridad de Australia, país en el que Avaddon tuvo mucha actividad y afectó a varias organizaciones públicas y privadas, el monto promedio que solicitaban los atacantes en los rescates es de aproximadamente 40.000 dólares.

En cuanto a los mecanismos de distribución más utilizados, en el caso de Avaddon el más común eran los correos de phishing que incluían adjuntos maliciosos, como archivos ZIP o JPG, y también se han registrado casos utilizando otros malware que descargan en una etapa posterior Avaddon. Al igual que los otros grupos que mencionamos, también utilizó como vector de acceso la explotación de vulnerabilidades y los servicios RDP.Lectura recomendada: Principales características del ransomware Avaddon

Qué podemos esperar para el 2022 con el ransomware

En países como Estados Unidos (uno de los más afectados por el ransomware), luego del ataque a Colonial Pipeline desde el gobierno comenzaron a tomar medidas para combatir esta amenaza. Como consecuencia de esas acciones, hace poco más de 30 países acordaron trabajar de forma conjunta para dar lucha contra este tipo de amenaza, lo que implica compartir información entre las fuerzas de seguridad y los centros de emergencia y respuesta ante incidentes de seguridad (CERT) de cada país, y también trabajar en mejorar los mecanismos para responder a este tipo de amenazas y promover buenas prácticas que tienen un rol clave en la actividad del ransomware.

Si bien hemos visto noticias de arrestos a miembros afiliados de algunos de estos grupos como parte de operaciones internacionales, así como programas que ofrecen importantes recompensasmas a cambio de información sobre los actores de amenazas detrás de estos grupos, los datos de 2021 muestran un crecimiento en todos los números, por lo que probablemente la tendencia se mantenga similar en 2022.

Ante este contexto, uno de los principales deseos de las organizaciones para el próximo año debería ser no incorporarse a la lista de alguna de estas bandas criminales. Para ello, deberán asegurarse de realizar las debidas diligencias y trabajar para mitigar los riesgos, y también prepararse en caso de sufrir un ataque de este tipo de malware.

Enlace a la noticia: welivesecurity.com/la-es/2021/12/20/ransomware-2021-datos-ataques-grupos-mas-activos/

El ransomware: qué es, cómo se lo evita, cómo se elimina

El ransomware es una clase de malware que representa un riesgo para ti y para tu dispositivo. ¿Sabes qué lo hace tan especial? Su nombre no es casualidad: el término con el que comienza, “ransom”, es una palabra inglesa que significa “rescate”. El ransomware es un software extorsivo: su finalidad es impedirte usar tu dispositivo hasta que hayas pagado un rescate.

Normalmente, una infección con ransomware ocurre del siguiente modo. Para empezar, el ransomware se introduce en el dispositivo. A continuación, dependiendo del tipo de ransomware, se cifra por completo el sistema operativo o solo algunos de los archivos. Finalmente, se le exige a la víctima el pago de un rescate. Para minimizar el riesgo de sufrir un ataque de ransomware, es recomendable usar software de calidad, como las soluciones de Kaspersky.

Ransomware, otro integrante de la familia Malware

La palabra malware resulta de combinar los términos “software” y “malicioso”. El término abarca todos los tipos de aplicaciones malignas que pueden comprometer la seguridad de un dispositivo. Los virus y los troyanos son, de este modo, dos clases de malware.

Cómo detectar el ransomware y qué hacer para protegerse

En lo que respecta al ransomware, es mejor prevenir que curar. Ello significa tener siempre un ojo atento y usar el software de seguridad adecuado. Los análisis de vulnerabilidades pueden ayudar a revelar si hay un intruso en el sistema. Es importante que el equipo no sea un blanco ideal para el ransomware. Las aplicaciones instaladas deben tener siempre las últimas actualizaciones y parches de seguridad. También es fundamental proceder con cautela, en especial al abrir archivos adjuntos o visitar sitios extraños. Pero como a veces la prevención no basta, contar con un plan de contingencia es fundamental. En el caso del ransomware, el plan consiste en tener copias de seguridad de los datos almacenados en el equipo. En nuestro artículo Protección contra el ransomware: cómo mantener a salvo tus archivos en 2021, encontrarás información para crear copias de seguridad correctamente e implementar otras medidas de prevención que te ayuden a proteger tu dispositivo.

Tú también puedes vencer a los troyanos de cifrado

Las maneras más comunes de contraer una infección de ransomware son visitar un sitio web maliciosoabrir un adjunto maligno o descargar software con agregados indeseables. Basta con cometer un mínimo error para abrirle las puertas al ransomware. Como este tipo de software está diseñado para mantenerse oculto el mayor tiempo posible, detectar una infección no es fácil. En la mayoría de los casos, el primero en notar un ataque de ransomware es el software de seguridad instalado en el equipo.

Por supuesto, existen otras señales de infección: cambios en las extensiones de los archivos, actividades dudosas en el sistema, uso intensivo del procesador, etc. Para deshacerse de una infección de ransomware, generalmente existen tres opciones. La primera —que definitivamente no se recomienda— es pagar el dinero del rescate. La segunda opción, preferible a la primera, es intentar eliminar el ransomware. Si este intento no da fruto, queda solo una opción: dejar el dispositivo en cero, como si fuera recién comprado.

¿Cuántas clases diferentes de ransomware existen? ¿Importa la diferencia?

Como dijimos, el riesgo del ransomware depende del tipo de virus. Existen, básicamente, dos clases de ransomware: el ransomware de bloqueo, por un lado, y el ransomware de cifrado, por el otro. Se diferencian de este modo:

  • el ransomware de bloqueo afecta las funciones básicas del equipo,
  • el ransomware de cifrado cifra archivos individuales.

El tipo de malware importa no solo por lo que hace, sino también porque afecta el modo de identificarlo y de contrarrestar sus efectos. Las dos clases generales se dividen, a su vez, en distintos tipos de ransomware. Algunos ejemplos de ransomware son LockyWannaCry y Bad Rabbit.

Historia del ransomware

Extorsionar a los usuarios como lo hace este tipo de malware no es un invento del siglo XXI. Se tiene registro de una forma primitiva de ransomware que data de 1989. Los primeros casos concretos de ransomware se denunciaron en Rusia en 2005. Desde entonces, el ransomware se ha convertido en un fenómeno mundial que mantiene, con cada nuevo tipo que se crea, su efectividad. El año 2011 trajo consigo un aumento exponencial en el número de ataques de ransomware. En respuesta a este aumento, y en especial desde 2016, los desarrolladores de software antivirus han puesto especial énfasis en el ransomware.

Los ataques de ransomware pueden emplear estrategias diferentes para países diferentes. Por ejemplo:

  • Mensajes incorrectos sobre la licencia de una aplicación:

En algunos países, los troyanos advierten sobre la presencia de software sin licencia en el equipo. En la falsa advertencia, se le pide a la víctima que haga un pago.

  • Mensajes falsos sobre contenidos ilegales:

En países en los que la descarga de software pirateado es una práctica común, la estrategia anterior no es demasiado efectiva. Lo que el ransomware hace, en cambio, es mostrar un mensaje (supuestamente de la policía) en el que se le dice a la víctima que su equipo contiene pornografía infantil o alguna otra clase de contenido ilegal. El mensaje exige luego el pago de una multa.

El mayor ataque de ransomware registrado

Uno de los ataques de ransomware más grandes y más serios de la historia ocurrió en mayo de 2017. Se lo conoce con el nombre de WannaCry. En el ataque, se exigió el pago de un rescate en bitcoins a unas 200 000 víctimas de casi 150 países.

Conclusión

El ransomware, en todas sus formas y presentaciones, es una seria amenaza tanto para usuarios hogareños como para empresas. Es fundamental estar alerta a los riesgos que supone y tomar todas las medidas de prevención posibles. Hay tres conceptos vitales: educarse sobre el malware, ejercer la cautela al usar un dispositivo y contar siempre con el mejor software de seguridad posible. Desde Kaspersky, con nuestros blogs informativos y nuestro software de primer nivel, haremos todo lo posible para ayudar.

La escalada del ransomware es imparable

La escalada del ransomware es imparable
  • La gran pesadilla de los responsables de seguridad en la actualidad es, sin duda alguna, el ransomware. Todos recordamos, hace ya cerca de una década, la llegada de un patógeno llamado CryptoLocker que cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos. Eclosionaba así una técnica de extorsión que ya llevaba experimentándose desde los ochenta, y que con la proliferación de Internet vio su oportunidad de convertirse en un enorme negocio.

Desde que los ciberdelincuentes descubrieron el filón del ransomware, la evolución de esta técnica de extorsión ha sido, desgraciadamente, ejemplar. De la difusión masiva de los patógenos se ha dado el salto a las campañas especialmente dirigidas, con software mucho más complejo y capaz de difundirse automáticamente por todos los recursos de la infraestructura, lo que les confiere la capacidad de secuestrar el total de las operaciones de las empresas víctima.

Ante dicha amenaza, hace algunos años vivimos una época dorada para las copias de seguridad. Garantizar la integridad de los activos reducía sustancialmente el impacto de los ataques, por lo que parecía que el ransomware había encontrado la horma de su zapato. Podía parecer el principio del fin, pero desgraciadamente resultó ser solo el fin del principio. La pesadilla del ransomware solo había dado sus primeros pasos, lo peor aún estaba por llegar.

Por una parte, los operadores de ransomware empezaron a desarrollar malware capaz de comprometer la integridad de las copias de seguridad, a lo que a su vez se tradujo en nuevos esfuerzos, por parte de la industria, para blindar las copias de seguridad frente a procesos malintencionados que podrían intentar eliminarlas o corromperlas. De nuevo parecía que la balanza se decantaba del lado de las víctimas, pero entonces llegó el más efectivo de los golpes: la exfiltración.

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

La exfiltración de datos ha hecho que el ransomware sea increíblemente rentable, y en consecuencia ha provocado la proliferación de nuevos operadores, deseosos de sacar partido de esta técnica combinada. Y gracias a un muy completo informe publicado por la firma de seguridad Fortinet, tenemos la posibilidad de cuantificar ese incremento. Y la cifra es, cuanto menos, preocupante, ya que el informe afirma que el ransomware se ha multiplado por diez en el último año.La escalada del ransomware es imparable

Gráfico: Fortinet

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Para Derek Manky, Chief, Security Insights & Global Threat Alliances de FortiGuard Labs, «Estamos asistiendo a un aumento de los ciberataques efectivos y destructivos que afectan a miles de organizaciones en un solo incidente, lo que supone un importante punto de inflexión en la guerra contra la ciberdelincuencia. Ahora más que nunca, todos tenemos un papel clave en este campo de batalla. Alinear las fuerzas a través de la colaboración debe ser prioritario para interrumpir las cadenas de suministro de los ciberdelincuentes.

Los datos compartidos y la colaboración permiten ofrecer respuestas más eficaces y predecir mejor las técnicas futuras para disuadir los esfuerzos de los adversarios. La formación continua en materia de ciberseguridad, así como las tecnologías de prevención, detección y respuesta potenciadas por la IA e integradas en los dispositivos, las redes y la nube siguen siendo vitales para contrarrestar a los ciberadversarios”.

¿Y qué podemos hacer frente a esta amenaza, que además de crecer se vuelve más y más sofisticada cada día que pasa? La estrategia bascula en dos elementos clave: por una parte, la protección del endpoint en tiempo real es más importante que nunca. El paradigma zero-trust es fundamental para prevenir la llegada de cualquier malware que pueda abrirle las puerta al ransomware. Y es que cada minuto que pasa con el patógeno sin ser identificado, es un minuto en el que la seguridad de toda la infraestructura se ve más y más comprometida.

El otro puntal es, como ocurre siempre, la formación. Capacitar a los trabajadores para que puedan identificar el phishing, que suele ser una de las puertas por las que el ransomware se cuela en muchas organizaciones. El binomio formado por las soluciones de seguridad adecuadas y trabajadores preparados para plantarle frente al ransomware es, a día de hoy, la mejor estrategia para no llegar a engrosar nunca las listas de empresas afectadas por el ransomware.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.muyseguridad.net/2021/09/08/ransomware-escalada-imparable/

Así es la «víctima perfecta» para un ataque de ransomware

El ransomware se ha convertido en el gran problema de seguridad al que se enfrentan empresas, organismos públicos y administraciones. Se calcula que más de un tercio de las empresas han sufrido un ataque de estas características en los últimos 12 meses y en España, organismos como el SEPE o el Ministerio de Trabajo y Economía Social, han sufrido las consecuencias.

Así las cosas, la consultora de ciberseguridad Kela, acaba de publicar un informe, en el que se dibujan los rasgos característicos que tienen esas empresas e instituciones que resultan mucho más atractivas para los cibercriminales y que por lo tanto, tienen más posibilidades de ser futuras víctimas de un ataque de ransomware.

Así, en lo que es una auténtica industria que busca maximizar su propio ROI, una de las principales conclusiones a las que llega el estudio es en cierta medida evidente: aquellas empresas que teóricamente tienen más capacidad para pagar un rescate, son las que se sitúan entre las más «demandadas»… Y en este sentido, son empresas americanas con una facturación anual superior a los 100 millones de dólares, las primeras que deben vigilar sus espaldas.

Ya os contamos cómo en el mundo del ransomware, conviven y colaboran varias partes implicadas: desde los hackers que diseñan el software, hasta los que comercializan vulnerabilidades…pasando por los que «simplemente»  venden el acceso a un sistema.

Si la cantidad que exigen los cibercriminales para rescatar los archivos cifrados ha aumentado exponencialmente en los últimos años, se debe precisamente a eso: la aparición de grupos de intermediarios que viven en este espacio económico, se ha convertido en un lucrativo negocio en el que los accesos comprometidos se ofrecen un mejor postor, que querrán recuperar su inversión.

Tras las empresas americanas con recursos suficientes para afrontar estos pagos, el estudio llega a la conclusión que las empresas canadienses, australianas y en menor medida, las europeas, son las preferidas por los cibercriminales. Las compañías rusas se encuentran en cambio entre las menos demandadas, así como las localizadas en países en vías de desarrollo, por su escasa capacidad para poder pagar un rescate interesante.

Más de la mitad de estos grupos de cibercriminales sin embargo, rechazan sistemáticamente el acceso a organizaciones del sectores como el sanitario o educativo, independientemente del país en el que se encuentren. En la mayoría de los casos además, y a menos que no haya un motivo de peso que vaya más allá de la ganancia económica, entidades gubernamentales y organizaciones sin ánimo de lucro no despiertan demasiado interés entre los grupos de ransomware.

Plataformas y vulnerabilidades favoritas

Además del tipo de empresas a la que se puede atacar, la mayoría de los grupos de ransomware también muestran determinadas preferencias cuando hablamos de las formas de acceder y comprometer los sistemas de sus potenciales víctimas.

Explotar vulnerabilidades en el Protocolo de Escritorio Remoto (RDP) y en las redes VPN, se encuentran en este sentido, entre las formas de acceso más «populares»; exploits para productos desarrollados por compañías como Citrix, Palo Alto Networks, VMware, Cisco o Fortinet, son casi siempre los más demandados.

Más allá de esto, el estudio desarrollado por Kela revela que la demanda de vulnerabilidades para paneles de administración de comercio electrónico, bases de datos no seguras e incluso servidores de Microsoft Exchange, van en aumento…ya sea para poner en marcha futuros ataques de ransomware, como para el robo de información confidencial o incluso, la implementación de malware para el minado de criptomonedas.

El informe de la consultora muestra que casi el 40% de los anuncios que se publican en los foros de la dark web corresponden precisamente a esta comercialización de accesos que ya han sido explotados… en una modalidad que ha recibido el justo nombre de RaaS (Ransomware as a Service) y estima que el precio medio de cada uno de estos accesos se sitúa en torno a los 100.000 euros.

Por último, otra tendencia interesante es la creciente demanda de negociadores. Los operadores de RaaS intentan rentabilizar mejor la fase de un ataque en la que la víctima se pone en contacto con los operadores de ransomware para negociar un pago, pero como las barreras lingüísticas pueden provocar una falta de comunicación, los grupos de ransomware intentan asegurarse nuevos miembros del equipo capaces de manejar el inglés, el español y otros idiomas con soltura.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.muycomputerpro.com/2021/09/09/asi-es-la-victima-perfecta-para-un-ataque-de-ransomware

NUEVAS VARIANTES DE RANSOMWARE MÓVIL

Un reporte de seguridad de Microsoft afirma que los usuarios de smartphones con sistema operativo Android están siendo afectados por una serie de aplicaciones maliciosas que contienen variantes de ransomware para equipos móviles conocidas como AndroidOS MalLocker.B.

La compañía asegura que estas nuevas variantes de ransomware se activan cuando los usuarios instalan aplicaciones engañosas en sus dispositivos y presionan el botón de inicio en el smartphone, por lo que una infección no requiere de mucha colaboración de los usuarios afectados.

Como muchos recordarán, las variantes de ransomware móvil se inyectan usualmente a través de aplicaciones maliciosas o con la descarga de documentos infectados. Una vez instalado en el dispositivo afectado, el software malicioso toma control de la pantalla y muestra la nota de rescate a los usuarios.

Al igual que en otras campañas maliciosas, los operadores de estas variantes de ransomware móvil muestran un mensaje en el que se hacen pasar por una agencia policial o incluso muestran los emblemas del Buró Federal de Investigaciones (FBI), engañando a la víctima sobre la comisión de un supuesto delito y la obligación de pagar una multa. Estos mensajes parecen legítimos, por lo que muchos usuarios suelen caer en la trampa.

Microsoft también explicó que el nuevo ransomware puede abusar de la notificación de llamadas en el smartphone comprometido. Esto permitirá a los hackers mostrar una ventana que cubre las pantallas completas de sus víctimas hasta que el rescate sea pagado. Aunque en algunos foros de ciberseguridad se ha atribuido esta actividad criminal a los operadores del ransomware Conti, la realidad es que no hay certeza sobre su origen.

Finalmente, si bien los operadores de variantes de ransomware convencionales exigen rescates de en promedio 170 mil dólares, los hackers de ransomware móvil suelen ser menos estrictos con sus exigencias económicas, ya que en la mayoría de incidentes exigen apenas unos cientos de dólares. Esto no quiere decir que el problema sea de poco interés para la comunidad de la ciberseguridad, ya que algunas compañías se encuentran desarrollando algunos métodos para la prevención de estas infecciones abordado los principales vectores de ataque, que incluyen fallas de seguridad móvil.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://noticiasseguridad.com/seguridad-movil/microsoft-advierte-a-usuarios-de-android-sobre-nuevas-variantes-de-ransomware-movil/

ESTOS SON LOS OBJETIVOS FAVORITOS Y DÍAS PREFERIDOS EN LOS QUE ACTÚA EL RANSOMWARE

A pesar de llevar muchos años conviviendo con esta amenaza, el ransomware sigue siendo algo desconocido o no muy tomada en cuenta por muchos usuarios y empresas. Por ese motivo, tanto los investigadores de ciberseguridad como los medios de comunicación no dejamos de hacernos eco de su evolución para generar concienciación y conseguir que se adopten medidas eficaces frente a esta amenaza.

Los objetivos favoritos

Tras varios años analizando esta amenaza hemos podido comprobar como el ransomware ha ido afectando a prácticamente cualquier tipo de usuario o empresa de cualquier sector. Sin embargo, a la hora de elegir sus objetivos se ha visto una clara evolución, con los primeros casos afectando principalmente a usuarios particulares, pasando después a centrarse en pymes y afectando actualmente a empresas y organizaciones de cualquier tamaño.

Actualmente podemos observar ciertas tendencias a la hora de elegir objetivos por parte de los delincuentes y, si bien no estar entre estos objetivos principales no salva a ninguna empresa de ser víctima, si que es interesante analizar las preferencias de los criminales para obtener el mayor beneficio de sus acciones.

Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades. Ataques recientes como el de Colonial Pipeline o Kaseya han demostrado las capacidades de estos grupos delictivos, pero también han provocado una reacción por parte de las autoridades que los ha puesto en el punto de mira, algo que no les conviene.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Conclusión

Las recomendaciones y medidas de seguridad necesarias para evitar y hacer frente a un ataque de ransomware son sobradamente conocidas y solo hace falta tener la voluntad y contar con los recursos necesarios para aplicarlas. Además, es necesario permanecer actualizado en lo que respecta a las técnicas usadas por los delincuentes para ir revisando las soluciones implementadas, de forma que estas sigan resultando efectivas.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/08/estos-son-los-objetivos-favoritos-y-dias-preferidos-en-los-que-actua-el-ransomware/