Hoy en día los ataques de ransomware vienen evolucionando, cambiando la modalidad de ataques generalizados por ataques selectivos contra organizaciones y sectores concretos. En esta modalidad los atacantes amenazan con cifrar los datos y además publicar en línea toda la información confidencial, sino se atienden sus demandas del pago dentro del plazo indicado del rescate por la información.
Los ataques de ransomware son unos de los tipos de amenazas graves que enfrentan las organizaciones puesto que, no solo pueden interrumpir las operaciones comerciales, sino que también pueden provocar considerables perdidas financieras y en algunos casos multas y juicios como resultado de violación de las normas y regulaciones. Estos nuevos ataques de extorsión utilizan las conocidas familias de ransomware Ragnar Locker y Egregor con ataques selectivos y adaptados a cada victima. Si la organización se niega a pagar el rescate sus datos confidenciales son publicados, si la victima acuerda con los ciberdelincuentes efectuar el pago y no lo hace también publican la conversación.
Los principales objetivos de Ragna Locker son empresas estadunidenses que desde julio se unió a la familia de ransomware Maze con la finalidad de compartir información robada. Por otro lado, Egregor descubierto en setiembre utiliza tácticas parecidas y comparte similitudes de código con Maze.
Egregor tiene un radio de ataque mas extenso como objetivo América del Norte, Europa y determinadas áreas de Asia-Pacifico, se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, de lo indican un plazo de 72 horas para efectuar el pago por el rescate de lo contrario la información se hará publica.
Las organizaciones deben aplicar buenas practicas de ciberseguridad con la finalidad de prevenir o identificar el ataque antes que se alcance el objetivo final, puesto que cuando el ransomware se despliega, el atacante ya ha reconocido la red, identificado y filtrado la información confidencial.
Algunas Recomendaciones:
- No exponga los servicios de escritorio remoto a redes publicar y utilice contraseñas robustas.
- Mantenga el software actualizado en todos los dispositivos que se utilicen.
- Tenga especial atención con los archivos adjuntos de los correos electrónicos.
- Utilice soluciones de identificación temprana para detener el ataque.
- Implemente una estrategia de defensa, detección de movimientos y filtración de datos a internet, trafico saliente, efectúe copias de seguridad periódicas.
- Capacite y comprometa a todo el personal de su organización.
- Utilice soluciones de seguridad para endpoint, prevención de exploits, detección de comportamientos y motor de remediación para hacer retroceder las acciones maliciosas.
- Ponga especial atención a los empleados remotos que actúen como puerta de entrada a la red.
