{"id":8309,"date":"2020-12-07T11:51:24","date_gmt":"2020-12-07T16:51:24","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=8309"},"modified":"2020-12-07T11:51:28","modified_gmt":"2020-12-07T16:51:28","slug":"ransomware-2-0-de-cifrar-datos-a-exponer-informacion-confidencial-en-linea","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/ransomware-2-0-de-cifrar-datos-a-exponer-informacion-confidencial-en-linea\/","title":{"rendered":"Ransomware 2.0: de cifrar datos a exponer informaci\u00f3n confidencial en l\u00ednea"},"content":{"rendered":"\n

En los <\/strong>\u00faltimos dos a\u00f1os<\/strong><\/a>, los ataques generalizados de <\/strong>ransomware<\/strong>, en los que los delincuentes utilizan malware para cifrar los datos y solicitan un rescate para devolverlos, han sido sustituidos por ataques m\u00e1s selectivos contra empresas y sectores concretos. En estas campa\u00f1as m\u00e1s selectivas, los atacantes no s\u00f3lo amenazan con cifrar los datos, sino tambi\u00e9n con publicar en l\u00ednea informaci\u00f3n confidencial. Esta tendencia fue observada por los investigadores de Kaspersky en un reciente an\u00e1lisis sobre <\/strong>la actividad del ransomware en Am\u00e9rica Latina<\/strong><\/a> con Revil (tambi\u00e9n conocido como Sodinokibi) y NetWalker como las dos campa\u00f1as m\u00e1s activas.<\/strong><\/p>\n\n\n\n

Los ataques ransomware se consideran uno de los tipos de amenazas m\u00e1s graves a los que se enfrentan las empresas. No s\u00f3lo pueden interrumpir las operaciones comerciales cr\u00edticas, sino que tambi\u00e9n pueden provocar p\u00e9rdidas financieras masivas y, en algunos casos, incluso la quiebra debido a las multas y los juicios en los que se incurre como resultado de la violaci\u00f3n de leyes y regulaciones. Por ejemplo, se estima que WannaCry<\/a> provoc\u00f3 p\u00e9rdidas financieras de m\u00e1s de 4.000 millones de d\u00f3lares. Sin embargo, las nuevas campa\u00f1as de ransomware est\u00e1n modificando su modus operandi:<\/em> amenazan con hacer p\u00fablica la informaci\u00f3n robada a la empresa.<\/p>\n\n\n\n

Entre las familias de ransomware m\u00e1s activas en Latinoam\u00e9rica se encuentran REvil (tambi\u00e9n conocido como Sodin o Sodinokibi), Maze, Ryuk, Netwalker, Zeppelin, DoppelPaymer, Dharma y Mespinoza. De entre ellas, Revil y NetWalker son las que practican este nuevo m\u00e9todo de extorsi\u00f3n en Am\u00e9rica Latina de forma masiva y han causado p\u00e9rdidas millonarias a grandes empresas en la regi\u00f3n, principalmente en los sectores de salud, telecomunicaciones y otras industrias cr\u00edticas.<\/p>\n\n\n\n

Revil populariz\u00f3 el modelo de negocios ransomware-as-a-service<\/em>, en donde el desarrollador del programa malicioso permite que otros grupos utilicen su malware en estafas cobrando una comisi\u00f3n por ello.<\/p>\n\n\n\n

Esta estafa se propaga, al igual que las familias de ransomware m\u00e1s activas en la regi\u00f3n a trav\u00e9s de ataques de fuerza bruta sobre el protocolo de escritorio remoto (RDP) o aprovechando vulnerabilidades en distintos servicios corporativos. Entre las vulnerabilidades m\u00e1s utilizadas encontramos a las asignadas a los CVE-2020-0609 y CVE-2020-0610 que afectan al componente de Remote Desktop Gateway, y al CVE-2019-2725 que representa una vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware.<\/p>\n\n\n\n

El costo por un ataque de ransomware se calcula en 720 mil d\u00f3lares, y el rescate promedio en cerca de 111 mil d\u00f3lares \u2013 estos datos son de fuentes independientes y reportes de v\u00edctimas. Esto se debe a que las recompensas en su mayor parte son demandadas en la criptomoneda Monero ($XMR) que otorga un nivel de privacidad y anonimidad a los atacantes que intentan evadir el rastreo de las fuerzas de la ley.<\/p>\n\n\n\n

“Lo que estamos viendo ahora mismo es el crecimiento del ransomware 2.0. Los ataques se est\u00e1n volviendo muy selectivos y el enfoque no es s\u00f3lo en la encriptaci\u00f3n, sino que se basa en la publicaci\u00f3n en l\u00ednea de datos confidenciales. Hacerlo no s\u00f3lo pone en riesgo la reputaci\u00f3n de las empresas, sino que tambi\u00e9n las expone a demandas si los datos publicados violan regulaciones como la HIPAA o la GDPR. Hay m\u00e1s en juego que las p\u00e9rdidas financieras<\/em>“, comenta Dmitry Bestuzhev, Director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky.<\/strong><\/p>\n\n\n\n

“Las organizaciones deben pensar en la amenaza del ransomware como algo m\u00e1s que un tipo de malware. De hecho, a menudo, el ransomware es s\u00f3lo la etapa final de una brecha en la red. Para cuando el ransomware se despliega, el atacante ya ha llevado a cabo un reconocimiento de la red, ha identificado los datos confidenciales y los ha filtrado. Por eso es importante que las organizaciones apliquen pr\u00e1cticas de ciberseguridad. Identificar el ataque en una fase temprana, antes de que los atacantes alcancen su objetivo final, puede ahorrar mucho dinero<\/em>“, a\u00f1ade Fedor Sinitsyn, experto en seguridad de Kaspersky<\/strong>.<\/p>\n\n\n\n

Para mantener su empresa protegida frente al ransomware, los expertos de Kaspersky recomiendan:<\/strong><\/p>\n\n\n\n

  1. No exponga los servicios de escritorio remoto (como el RDP) a redes p\u00fablicas, a menos que sea absolutamente necesario, y utilice siempre contrase\u00f1as fuertes para ellos.<\/li><\/ol>\n\n\n\n