Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial. Entre las principales conclusiones de este informe, que cubre los meses de abril a junio de 2021, ocupa un lugar de relevancia todo lo relacionado con las actividades de ransomware.
Ransomware, una actividad lucrativa y de bajo riesgo para los ciberdelincuentes
El ransomware toma fuerza como la principal amenaza para muchas organizaciones, debido al alto potencial de retorno de la inversión que genera para los ciberdelincuentes y al alto nivel de impunidad con el que éstos operan (realizan los ataques desde lugares remotos, con poca o ninguna interferencia de los organismos encargados de hacer cumplir la ley, extradición por delitos de ransomware es rara o inexistente.
El impacto y el coste de los ataques exitosos de ransomware pueden ser muy elevados para una organización. Se estima que en 2020 se han realizado pagos por 370 millones de dólares en concepto de rescate por este tipo de ataques. Sin embargo, los daños ocasionados por el ransomware no se limitan solo al pago de rescates. Se estima que el daño total asociado con el ransomware es mucho mayor que el pago realizado, y puede aproximarse a los 20.000 millones de dólares. Entre dichos daños se encuentran la pérdida de datos e información confidencial, el daño o destrucción de los sistemas de información y de la infraestructura de negocio, pérdidas de productividad y daños a la marca y la reputación.
Ransomware como Servicio (RaaS)
Como en otras áreas, los ciberdelincuentes también están utilizando los nuevos modelos de entrega de servicios de TI disponibles en el mercado. Muchas organizaciones criminales carecen de las habilidades para crear su propio ransomware y contratan este servicio en la red.
Las plataformas RaaS incluyen soporte, foros comunitarios, documentación, actualizaciones y otros recursos, como cualquier plataforma SaaS del mercado. Algunos sitios incluso ofrecen documentación de marketing de apoyo y casos de éxito, y el coste es relativamente bajo. En algunos casos, los usuarios disponen de modelos de suscripción mensual o de “pago por éxito”, es decir, sin tarifa inicial y pagar cuando un ataque es exitoso.
La utilización de ataques RaaS con objetivos muy precisos está siendo lucrativo para los ciberdelincuentes. No son ataques masivos, sino que se utiliza ingeniería social para elaborar vectores de ataque de apariencia legítima, como correos electrónicos bien elaborados. En otros casos, los actores de amenazas pueden apuntar a vulnerabilidades específicas de un grupo de víctimas objetivo.
Principales vectores de ataque del Ransomware
Los principales métodos de propagación del ransomware detectados en este periodo son:
- Páginas web maliciosas. Un sitio web malicioso utiliza técnicas de ingeniería social para hacer que los usuarios hagan click en un determinado enlace y descarguen ramsonware. Puede tratarse de una página web propia o de un sitio legítimo en el que los cibercriminales han conseguido implementar código malicioso para redirigir a los usuarios al sitio de descarga del malware. Algunos sitios web maliciosos albergan kits de explotación, que permiten a los atacantes escanear el equipo objetivo en busca de vulnerabilidades. Una vez encontradas, pueden ejecutar código sin que los usuarios hagan clic en nada. Los usuarios no se darán cuenta de su las máquinas están infectadas hasta que aparece una nota de rescate y solicita un pago a cambio para la clave o archivos de descifrado.
- Correo electrónico de spam. Los cibercriminales utilizan constantemente campañas de correo electrónico que emplean ingeniería social, tácticas como métodos de distribución de su malware, descargadores o enlaces maliciosos. Algunos ataques están altamente personalizados y dirigidos específicamente a un individuo u organización, una técnica conocida como spear-phishing, pero otros forman parte de campañas masivas. Como hemos señalado anteriormente, los correos electrónicos de suplantación de identidad buscan la participación de los usuarios para cargar software malicioso en su sistema y, potencialmente, en la red de una organización. Una vez que los atacantes tienen acceso al sistema, pueden utilizar o encontrar la información confidencial y obtener acceso al correo electrónico, a la red, los sistemas financieros u otros activos.
- Protocolo de escritorio remoto (RDP). Los equipos de TI conocen RDP como el protocolo de Microsoft que facilita las conexiones remotas a otras computadoras. Esta conexión generalmente ocurre a través del puerto TCP 3389. RDP proporciona acceso a la red a través de un canal cifrado y permite a los usuarios controlar de forma remota equipos con Microsoft Windows. Este protocolo es muy utilizado, sobre todo durante la pandemia, ya que permitía, por ejemplo, al equipo de TI, acceder a los equipos de trabajadores que estaban en sus casas para solucionar incidencias. Pero RDP se ha convertido en un vector de ataque muy eficaz y peligroso. Un estudio ha revelado que más de 10 millones de equipos conectados a red estaban configurados con el puerto 3389 abierto. Para un hacker es muy sencillo utilizar motores de búsqueda como Shodan para localizar dispositivos con este puerto abierto.
Los hackers pueden obtener acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en los servidores que no se han actualizado o utilizar técnicas de fuerza bruta para entrar. Una vez dentro, obtienen privilegios de administrador, el control total de la máquina y cifrar archivos. También pueden aprovechar las vulnerabilidades en el cliente Microsoft RDP, Free RDP (un cliente RDP de código abierto en GitHub), o RDesktop (un cliente RDP de código abierto que es un cliente RDP predeterminado en Kali Linux).
- Tarjetas de memoria USB. Las memorias USB se han utilizado para distribuir muchos tipos de malware, incluido ransomware. Los malhechores dejan unidades USB en cafeterías, aeropuertos, buzones de correo u oficinas para que un usuario desprevenidos los recojan y usen. Al insertar la memoria en el ordenador, el ransomware se ejecuta, cifra los archivos del dispositivo y se propaga dentro de la red.