5 grupos de ransomware muy activos en América Latina en el 2023
ESET analiza grupos de ransomware muy activos en América Latina en el 202, explica cuáles son los principales actores y cómo deben prepararse las empresas y entidades.
Según ESET Security Report, el 96% de las organizaciones señalaron su preocupación por el ransomware como una amenaza latente, el 21% reconoce haber sufrido un ataque con este tipo de malware en los últimos dos años. De este último grupo, el 77% pudo recuperar su información gracias a las políticas de respaldos con las que cuentan, por el contrario, el 4% afirmó haber pagado para su rescate. El 84% de las organizaciones encuestadas negó estar dispuesta a negociar el pago por el rescate de sus datos.
"Uno de los principales desafíos a enfrentar en el futuro cercano será el aumento de las campañas de spearphishing (dirigidas apuntando a un objetivo específico). Deberá tenerse en cuenta el aumento de los riesgos asociados al mayor del uso de las tecnologías en el periodo pospandemia, y la necesidad de mejorar el nivel de concientización de colaboradores de las empresas en todos los niveles.", comenta
David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.
La implementación de ciberseguridad en América Latina depende del tipo de organización, y conforme a las encuestas realizadas del ESET Security Report hay problemáticas en las que existe una convergencia sin importar el tipo de sector: El robo o fuga de información en las compañías es la que representa la mayor preocupación, con un 66%, y está asociada a un acceso indebido a sistemas, es decir, el aumento de ataques que buscan explotar alguna vulnerabilidad a través de campañas de phishing dirigido (spearphishing) o la instalación de códigos maliciosos como el ransomware o troyanos de acceso remoto.
Los grupos más activos de ransomware en lo que va del año para la región de América Latina según ESET, son:
- SiegedSec: Este grupo es reconocido es por su lema de asediar la seguridad de la víctima, de ahí su nombre, en inglés siege, que puede traducirse al español como asediar o sitiar. Su modus operandi es extorsionar a la víctima a tal grado de solo dejarle la salida de pagar por el rescate de su información o, en el peor de los casos, venderla en foros de la Dark web o Telegram.
- Desde el inicio de sus actividades en febrero de 2022, vinculadas con el grupo de ransomware GhostSec, ha demostrado que no tiene preferencia en sus blancos, pues ha logrado afectar a sectores en todo el mundo tales como atención sanitaria, tecnologías de la información, seguros, contabilidad, derechos y finanzas. En lo que respecta a su actividad en América Latina, SiegedSec logró obtener documentos de intranet, bases de datos, información de usuarios y detalles de las organizaciones vulneradas en varios sectores en Colombia, con entidades de gobierno y salud entre los más afectados.
- SiegedSec es caracterizado porque en todos sus banners para liberación de la información integran un gato como si se tratara de su mascota oficial.
- Nokoyawa: De origen ruso, e iniciada su actividad en febrero del año pasado, se caracteriza porque es el único grupo en utilizar un cifrado de amplia sofisticación (criptografía de curva elíptica, o ECC, por sus siglas en inglés), añadiendo su propia extensión de archivo homónima (NOKOYAWA). Este grupo logró conseguir una enorme cantidad de información, un laboratorio de en el sector de salud de Brasil en lo que va del tercer cuatrimestre del 2023.
- ALPHV: También conocido como Blackcat; la forma en que opera este grupo desde su aparición en noviembre del2021, es a través del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) debido a que sus ataques no se hacen aleatoriamente o por campañas de tipo spam, sino que, sus objetivos son determinados mediante los asociados con los que cuenta, es decir, que reúnen esfuerzos para realizar ataques a objetivos ya perfilados. Esto hace que su modus operandi sea específico para cada caso de uso, así como las técnicas empleadas durante sus ataques.
A la mitad del 2023, ALPHV publicó información confidencial de la exfiltración de datos de una de las empresas más grandes de México a través de su canal de Telegram, de igual manera el sector público no se vio exento de este ataque.
Stormous y su alianza con GhostSec: El grupo Stormous tuvo su aparición a mitad del 2021. El grupo, de origen árabe, en un principio publicitaba a través de sus canales en Telegram y en sus foros de la Dark web, ataques hacia Estados Unidos. Debido al conflicto Rusia-Ucrania, sus objetivos se modificaron y a mediados de julio de este año declararon oficialmente asociarse con el grupo de hacktivistas GhostSec para atacar no solo a Estados Unidos, sino también a países de América Latina y entre ellos al gobierno de Cuba.
Vice Society: Fue uno de los grupos con mayor actividad a finales del 2022 y principios del 2023. La mayoría de las incidencias fueron hacia industrias de la educación y atención médica pero también se tiene evidencia de que otro sector al que está apuntando este grupo de ransomware es al manufacturero en países como Brasil, Argentina, Suiza e Israel. Cabe mencionar que han identificado que tienen su propio generador de ransomware personalizado optando por métodos de cifrado más sólidos, lo que significa que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).
Recomendaciones que pueden ayudar en la protección de la información
👉 El primer manual de concientización y capacitación sobre ciberseguridad, privacidad e IA, puedes bajarlo sin cargo desde este enlace: Asegurando nuestra identidad digital (2023) 👈
- Implementar copias de seguridad automatizadas y frecuentes: Establecer una política de respaldo regular de los datos críticos es esencial. Esto garantiza que, en caso de un ataque de ransomware, se pueda restaurar la información sin pagar un rescate. Según el informe de seguridad de América Latina, el 88% de las organizaciones ya han adoptado esta práctica.
- Mantener la actualización y parcheo constante: Mantener todos los sistemas, aplicaciones y dispositivos al día con las últimas actualizaciones y parches es vital. Esto reduce significativamente las vulnerabilidades que los ciberdelincuentes pueden explotar. Sin embargo, solo el 45% de las organizaciones en América Latina realizan actualizaciones de seguridad más de dos veces al año, lo que demuestra la necesidad de mejorar en este aspecto.
- Educación continua y concienciación: Capacitar a todos los empleados en las mejores prácticas de seguridad y las tendencias de ataques en la región es fundamental. Desarrollar un programa de formación y concienciación de seguridad puede prevenir con éxito muchos ataques de ransomware. Actualmente, solo el 28% de las organizaciones encuestadas en América Latina cuentan con este tipo de programa.
- Reforzar la seguridad de la red: Implementar firewalls, segmentación de red y reglas de acceso, así como el uso de VPN, es esencial para limitar la propagación de malware en la red empresarial.
- Elaborar un plan de respuesta a incidentes y continuidad del negocio: Tener un plan sólido para enfrentar incidentes y garantizar la continuidad de las operaciones es esencial. Actualmente, solo el 42% de las organizaciones encuestadas tienen un plan de respuesta a incidentes, mientras que el 38% carece de un plan de continuidad del negocio.
- Adoptar soluciones de seguridad avanzadas: La implementación de soluciones de seguridad avanzadas, como Endpoint Detection and Response (EDR) y software antimalware, es fundamental para detectar y bloquear comportamientos sospechosos o anómalos. Esto no solo garantiza la continuidad del negocio, sino que también construye la confianza de los clientes al demostrar que se protege adecuadamente su información.
- Aplicar el principio del mínimo privilegio: Restringir los privilegios de acceso solo a lo necesario para realizar tareas específicas limita la capacidad de propagación del ransomware hacia otros sistemas o aplicaciones. Esta medida de seguridad es esencial para mantener la integridad de la red empresarial.
Además de las recomendaciones anteriores, aquí tienes algunas sugerencias adicionales:
- Implementar la autenticación de dos factores (2FA) en todos los sistemas y aplicaciones críticas para agregar una capa adicional de seguridad.
- Monitorear constantemente los registros de seguridad y establecer alertas para detectar actividades sospechosas o intrusiones de manera temprana.
- Realizar auditorías de seguridad regulares para identificar y abordar posibles vulnerabilidades en la infraestructura de TI.
- Limitar el uso de dispositivos USB y medios extraíbles en la red empresarial para evitar la propagación de malware a través de estos vectores.
- Establecer políticas de gestión de contraseñas sólidas y fomentar el uso de contraseñas seguras y únicas.
- Evaluar y seleccionar proveedores de software y servicios de terceros en función de sus medidas de seguridad y prácticas de protección de datos.
- Implementar un sistema de monitoreo de tráfico de red para detectar patrones de comportamiento inusual que puedan indicar un ataque.
- Establecer un proceso de gestión de parches y actualizaciones exhaustivo que incluya pruebas antes de implementar cambios en la infraestructura.
No hay comentarios.