El ransomware es relativamente nuevo y evoluciona constantemente, siendo cada vez más sofisticado. El último año surgieron diferentes variantes de ransomware.
El ransomware también está centrándose en las aplicaciones SaaS (software como servicio). Un estudio a múltiples proveedores de servicios reveló que Dropbox, Office 365, G Suite, Box y Salesforce han sufrido algún tipo de ataque de ransomware.
¿Cómo es posible? Suele deberse a procedimientos de ciberseguridad pobres (o mal implementados). Las aplicaciones son tesoros virtuales de datos, y un tercero que acceda a ellas constituye una grave amenaza para empresas, gobiernos u organizaciones sin ánimo de lucro por igual.
A continuación, algunos datos estadísticos a considerar:
Windows es el dominante desde que conquistó a todo el mundo en los 90s. Prácticamente a cualquier oficina gubernamental mexicana que se entre y se visualice una computadora se observa que usa Windows.
Por experiencia propia en el ámbito gubernamental, y este es un dato empírico, existen ciertas áreas especializadas que requieren de un sistema operativo distinto a Windows. Por ejemplo, me ha sido común ver que las áreas de comunicación social operan con computadoras de Apple debido a sus trabajos en diseños y edición de audio y videos. También existen algunos funcionarios de alto nivel que por mero capricho piden a los de compras adquirirles este tipo de máquinas.
AVADDON… COMO PREMIO MAYOR PARA MÉXICO
El Avaddon es un Ransomware as a service (RaaS) que fue reportado por primera vez en junio de 2020 y que cuenta con una sólida reputación en los mercados negros.
En un principio los ataques iniciaron en pequeñas y medianas empresas de Europa y Estados Unidos, pero ahora hay muchos afectados en América Latina.
Países como Brasil, Perú, Chile y Costa Rica se registraron víctimas de Avaddon, en organismos gubernamentales hasta compañías de industrias como la salud o las telecomunicaciones.
Algunos de los mecanismos de acceso inicial que estuvo utilizando este ransomware fueron correos de phishing con archivos adjuntos en formato ZIP que contienen un archivo javascript malicioso.
Estos correos incluyen un mensaje en el cuerpo del correo que buscan despertar la curiosidad del usuario, como una supuesta foto o similar.
Este modelo de multitarea y trabajo en conjunto permite la construcción de un servicio de creación de amenazas “a medida”.
El objetivo de este modelo de negocio es lograr convencer a las víctimas de que la mejor solución para recuperar sus archivos es enviar el pago solicitado por los hackers.
De acuerdo a Hiram Camarillo, especialista en ciberseguridad y fundador de Seekurity, el nuevo capítulo de ransomware en México involucra a la Lotería Nacional y a documentos potencialmente sensibles fechados entre el 2009 y el 2021.
Se trata del grupo de ransomware Avaddon, que anunció que tiene en su posesión documentos legales, correspondencia, finanzas, datos notariales, outsourcing, y otros datos de la institución mencionada.
El anuncio fue emitido el 27 de mayo y en él se dice que Pronósticos Deportivos “no quiere cooperar”, así que se da un ultimátum de 240 horas (diez días) para ponerse en contacto con el grupo que tiene los documentos. Si no hay comunicación, advierten, se filtrarán todos los documentos. Además, advierte Avaddon, el sitio sufrirá un ataque DDoS.
¿DESCUIDO INSTITUCIONAL POR LA CIBERSEGURIDAD?
Como lo menciona Camarillo para Xataka México, para comprobar que el grupo tiene acceso a la información, que se han subido 11 documentos escaneados, un archivo en Excel y varios formatos web. Algunos de los documentos parecen contener información pública, pero dada la cantidad de datos es imposible asegurar que todos sean así.
Con relación a los constantes ataques de ransomware a instituciones, Camarillo asegura que “se debe a varios factores: la falta de concientización de la seguridad de los empleados” y “la poca atención de las instituciones hacia su seguridad”. Incluso argumenta que el trabajo remoto podría tener parte de la responsabilidad pues no todos trabajan de la misma manera, en cuestiones concretas = CULTURA.
Adicional está el tema de la sofisticación de los grupos que se dedican a ransomware; “Avaddon es uno de los grupos más fuertes y grandes, al menos ellos colocan en su blog a mínimo ocho víctimas cada 10 días en promedio”, dice Camarillo quien los identifica como parte del top 5 de los grupos más poderosos de ransomware.
El siguiente paso antes de que se cumpla el plazo es el ataque DDoS y a horas de la amenaza Bleeping Computer encontró que Lotería Nacional está bloqueando las direcciones IP extranjeras, en lo que parece ser un intento para evitar la caída de sus sitios. Es imposible saber cuándo iniciará, pero se trata, de una estrategia para presionar a Pronósticos Deportivos a entablar comunicación y aceptar el rescate.
A decir de Avaddon, la próxima actualización sobre el caso será el 6 de junio, cuando se cumplan los 10 días que dio como plazo para que Lotería Nacional contacté para negociar el rescate de la información secuestrada.
El ransomware está lejos de desaparecer, como sencillamente funciona, empresas y particulares seguirán siendo objetivos de ataques.
REFERENCIAS
C, Eric, Tendencias, estadísticas y datos sobre ransomware en 2021, es.safetydetectives.com, recuperado: https://es.safetydetectives.com/blog/ransomware-statistics-es/
Redacción, Asi opera Avaddon, hackers que atacaron a la Lotería Nacional, EseT, recuperado: https://www.unotv.com/ciencia-y-tecnologia/asi-opera-avaddon-hackers-que-atacaron-a-la-loteria-nacional/
Steve, Oscar, La Lotería Nacional de México es la última atacada por ransomware: el poderoso grupo Avaddon le exige rescate por información robada, xataka 2021, recuperado: https://www.xataka.com.mx/seguridad/loteria-nacional-ultima-atacada-ransomware-poderoso-grupo-avaddon-le-exige-rescate-informacion-robada
Steve, Oscar, Lotería Nacional está bloqueando IPs extranjeras luego de la amenaza de un ataque DDoS por grupo de ransomware, xataka 2021, recuperado: https://www.xataka.com.mx/seguridad/loteria-nacional-esta-bloqueando-ips-extranjeras-luego-amenaza-ataque-ddos-grupo-ransomware.
