Tras el incidente sufrido por la empresa de dispositivos GPS Garmin, que se vio afectada por el ransomware WastedLocker el pasado mes de julio, ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha revisado las últimas detecciones de esta amenaza para comprobar en qué países ha operado recientemente el grupo de delincuentes responsable de estos ataques. Sorprendentemente, en las últimas semanas más del 80% de los ataques de WastedLocker detectados por las soluciones de ESET fueron realizados en España.
Esta cifra representa el número de ocasiones en el que una solución de ESET instalada en un sistema ubicado en España detectó y bloqueó con éxito los intentos de cifrar los archivos realizados por WastedLocker. El bloqueo de la actividad maliciosa de esta amenaza se confirma al no haber detectado ninguna nota de rescate entre los equipos españoles a los que los delincuentes intentaron infectar.
La elección de nuestro país como objetivo principal de este tipo de ataques puede ser debido a varios factores, entre los que se encuentran:
- Una apuesta generalizada por el teletrabajo debido a la pandemia provocada por la COVID-19, sin que fuera aparejada de la formación ni la adopción medidas de seguridad adecuadas.
- La popularización de las conexiones mediante Protocolo de Escritorio Remoto (RDP) sin monitorizar adecuadamente los accesos que se hacen a la red interna de las empresas.
- Un aumento considerable en los casos de robo de credenciales que, posteriormente, pueden ser utilizadas para acceder a la red corporativa, robar información y cifrarla con un ransomware como WastedLocker.
Estos datos solamente son representativos de aquellas estaciones de trabajo protegidas por soluciones de seguridad de ESET, pero sirven para recordar la importancia de adoptar ciertas medidas si queremos evitar incidentes como el sufrido por Garmin y otras empresas, teniendo en cuenta que la infección por ransomware es, muchas veces, la consecuencia final de una infiltración en la red corporativa realizada por delincuentes que saben muy bien lo que hacen. Por ello, desde ESET se recomienda:
- Gestión efectiva de credenciales y accesos remotos: las conexiones remotas a la red corporativa están en máximos debido a la imposición del teletrabajo por fuerza mayor. Lamentablemente, eso implica que los delincuentes lo tengan más fácil a la hora de encontrar redes internas accesibles fácilmente, ya sea mediante ataques de fuerza bruta o robando las credenciales de acceso a alguno de los empleados mediante ataques de phishing o herramientas de control remoto, entre otros.
- Gestión eficiente de los permisos de los usuarios: en demasiadas ocasiones los usuarios tienen más permisos de los estrictamente necesarios para realizar su trabajo y eso facilita la labor de los atacantes, ya que pueden instalar todo tipo de aplicaciones sin solicitar permisos adicionales. Lo ideal sería que esto estuviera limitado y solo los usuarios con los permisos adecuados y justificados pudieran instalar aplicaciones previamente aprobadas.
- Instalación de soluciones endpoint con capacidad de detectar la actividad sospechosa relacionada con el ransomware (cifrado masivo de archivos, creación de notas de rescate…), complementadas por un sistema EDR que permita detectar actividades sospechosas, incluso aquellas que se realicen con herramientas legítimas del sistema.
- Instalación y configuración de una solución de backup que permita restaurar rápidamente la información en los equipos afectados. Asimismo, es muy conveniente cifrar toda la información que sea catalogada como confidencial para evitar que sea usada por los delincuentes como chantaje en el caso de que consigan robarla.
