Observan un aumento de ataques de ransomware en América Latina
Timothy Lehey, analista senior y jefe de investigación en BlueVoyant, explica por qué aumentan los ataques y cómo proteger su organización.
Según la última información sobre amenazas de BlueVoyant, el ransomware ha aumentado en América Latina. En los últimos meses, se han registrado tres ataques exitosos contra importantes instituciones latinoamericanas: el gobierno de Costa Rica (que afectó a múltiples organismos), la Secretaría de Estado de Finanzas de Río de Janeiro y la Agencia de Inteligencia de Perú. Los ataques siguen teniendo efectos de gran alcance.
A mediados de mayo, los atacantes enviaron un mensaje amenazante al gobierno de Perú, informando que el grupo liberaría los archivos a menos que se pagara un rescate.
El 8 de mayo, debido al ataque de ransomware, el Gobierno de Costa Rica declaró el estado de emergencia.
La situación actual
Las agresiones de Costa Rica y Perú son atribuibles a Conti, la cual fue una de las operaciones de ransomware más prolíficas y destructivas. La banda operaba de alguna forma desde 2017, y fue objeto de filtraciones después de declarar su apoyo a la invasión de Ucrania por parte de Rusia. Conti rápidamente reemplazó ese mensaje con uno más suave. Estas filtraciones no parecen haber afectado a la capacidad operativa del grupo. En ese sentido, BlueVoyant analizó recientemente las filtraciones de Conti y publicó un informe exhaustivo.
Debido a la aparente falta de cooperación del gobierno costarricense para pagar el rescate, Conti amenazó con atacar a otras organizaciones de este país. En los mensajes, la banda hizo una referencia indirecta la asistencia de Estados Unidos para responder a ese ataque; no está claro si se refiere a la asistencia del gobierno estadounidense o la respuesta de una empresa privada.
Aunque parece que Conti no encriptó las redes de la agencia de inteligencia peruana, afirmó haber exfiltrado grandes cantidades de datos. También emitió el típico (e irrisorio) descargo de responsabilidad de que no tiene objetivos políticos; solamente financieros, según la investigación de amenazas de BlueVoyant.
La banda de ransomware Conti se disolvió a finales de mayo, pero los problemas cibernéticos de Costa Rica no. La agencia de salud pública del país fue atacada con éxito por la banda de ransomware Hive sólo una semana después. Este ataque se suma a los ya debilitantes problemas del país debido a los continuos ataques. Este último demostró que, independientemente del adversario, incluso las redes latinoamericanas más críticas se enfrentan a un constante bombardeo de ciberataques, especialmente cuando la actividad de ransomware parece estar (en relativo) descenso en Estados Unidos y Europa.
El ataque brasileño parece estar vinculado a otro grupo de ransomware, llamado Lockbit.
Cómo proteger su organización
Para protegerse contra el ransomware, las organizaciones de América Latina y de todo el mundo deberían centrarse en mejorar su postura de ciberdefensa. Según la inteligencia de amenazas de BlueVoyant, una de las formas de éxito de Conti y otros atacantes es a través de conexiones de redes públicas virtuales (VPN) comprometidas o mal configuradas. BlueVoyant ha observado que las credenciales de VPN latinoamericanas se comercializan entre los corredores de acceso inicial de ransomware.
Además, las organizaciones deberían llevar a cabo pruebas regulares de phishing y formación. Los delincuentes que extorsionan vía ransomware y otros grupos hacen un uso intensivo de esta táctica para engañar a los empleados para que hagan clic en enlaces o abran archivos adjuntos cargados de malware.
Las organizaciones también deberían añadir la autenticación multifactor (MFA) a las cuentas y recursos para dificultar el acceso de los delincuentes a las redes. La MFA requiere que los usuarios proporcionen dos o más factores de verificación para obtener acceso a una cuenta o recurso.
Otra medida eficaz es asegurarse de que los empleados sólo pueden acceder a los documentos y datos que necesitan, una práctica denominada principio de mínimo privilegio. Los empleados, los sistemas y otras cuentas solamente deben poder acceder a los dispositivos y documentos necesarios para realizar sus tareas. Esto minimiza el daño que se puede hacer si un sistema se ve comprometido.
Al final, tomar incluso algunas de estas precauciones hará que sea menos probable que las organizaciones se vean afectadas y puedan evitar el ransomware.