Blog

¿ESTÁS PREPARADO PARA UN RANSOMWARE?

Por Fidel Delgado, Gerente de B.A.S.

Las barbas del vecino.

Durante mucho tiempo en el folklore verbal mexicano existe un dicho que va “si ves las barbas de tu vecino recortar, pon las tuyas a remojar” este dicho tan simple, nos previene de lo que pasa alrededor de nosotros, nos pide que estemos atentos a lo que pasa en nuestro entorno y sobre todo nos pide que nos preparemos y estemos listos para lo que se puede presentar, pero ¿en realidad vemos el entorno? ¿realmente monitoreamos lo qué pasa alrededor para estar preparados? Y peor aún ¿Cuántas veces hemos visto lo que pasa al lado y realmente nos hemos preparado para estar listos en caso de que nos ocurra?  

Esta preocupación de monitorear lo que pasa alrededor, viene de los acontecimientos que últimamente han sucedió en América latina, específicamente en Costa Rica. Una organización cibercriminal (Conti) tomó el control de dos plataformas conocidas como TIC@ y ATV que pertenecen al Ministerio de Hacienda, dicho ataque ocurrió entre el 17 y 18 de abril de 2022 según varias fuentes como ESET.

Las plataformas afectadas son utilizadas para presentar las declaraciones de impuestos sobre la renta, las ventas y otras obligaciones, principalmente por importadores y exportadores nacionales, agencias aduanales, así como grandes y pequeños contribuyentes.   

Por lo que estas actividades mencionadas hoy se tienen que hacer manualmente, con posibles errores en el cálculo y por ende creando un cuello botella gigante que impide que el comercio pueda regresar a la normalidad en ese país.

Esta situación de crisis ha hecho que el propio mandatario Rodrigo Chaves reconozca que las finanzas del país se encuentran en riesgo, dado que se están pagando salarios “a ciegas” y los procesos de comercio internacional se han visto seriamente afectado.

Detalles del Ataque

El ataque fue realizado por medio de un Ransomware, que para los que aún no conocen este programa maligno, es un programa que entra a tu red y su objetivo es encriptar toda tu información (secuestrar los datos) y una vez que este encriptado, el grupo cibercriminal se pone en contacto para pedir un rescate y poder regresar la información a como se tenía de manera original, es importante que en el mayor de los casos nunca sucede esto, por lo que vamos adelantando que no se recomienda pagar el rescate.

Hoy en día, los cibercriminales dicen haber obtenido acceso a unos 800 servidores y haber extraído 900 GB de bases de datos y 100 GB con documentos internos del ministerio de hacienda.

Este Ransomware específico de los cibercriminales Conti, puede infectar a las compañías principalmente por 3 medios; el primero y más común es por medio de correos phishing que incluyen ducho código malicioso que descarga el malware sin que se dé cuenta el receptor, el segundo es por medio de vulnerabilidades de la infraestructura de la red tenga ya sea por falta de actualizaciones y uso de programas piratas y,  el tercero por una exposición o débil configuración de servicios de escritorio remoto (RDP).

Evolución del sistema de negocio criminal.

Algo muy importante y peculiar en este ataque es que fue por medio de un RaaS (Ransomware as a Service) y que el grupo cibercriminal utilizaron una modalidad de doble extorsión conocida como Doxing. Estos dos temas se explicarán muy fácilmente.

RaaS o como su traducción seria Ransomware como un servicio, es justamente eso, un servicio que una persona contrata al grupo cibercriminal, es decir que cualquier persona que no tenga conocimientos técnicos y solo tenga información de la víctima u objetivo, puede acudir con este grupo para solicitar el ataque, donde el acuerdo es proveer información para el ataque y el resultado es la repartición de las ganancias una vez que se obtenga el pago del rescate. Se conoce de este método e incluso de cómo opera el Ransomware por que un cliente de este servicio delató al grupo Conti, ya que este cliente contrató dicho servicio que una vez realizado el ataque nunca le pagaron, por ende, en manera de venganza reveló la manera de operar de Conti. Es importante comentar que una vez que se contratan estos servicios los cibercriminales proveen de todo lo necesario incluso manuales para personal no técnicas.

Doxing o como lo mencionamos doble extorsión es la modalidad donde el atacante antes de encriptar la información muestra o revela parte de esta a la víctima, amenazando que, de no recibir el pago, no solo no regresarán la información si no que será expuesta o vendida en la Deep web. Esto con el objetivo de crear más presión, ya que dicha exposición no solo genera la perdida de la información si no que expone a la víctima a sanciones regulatorias como la LFPDPPP o la GDPR.

El grupo cibercriminal Conti, tiene su sede en Rusia, fue detectado por primera vez en 2019 y fue uno de los grupos de cibercriminales más activos en el 2021.

Poner las barbas a remojar.

La Forma de atacar de estos grupos de cibercriminales es mediante un monitoreo mundial, evaluado qué países, instituciones y empresas han mostrado ser vulnerables, para este caso Costa Rica fue la elegida, pero este monitoreo es constante.

Las actualizaciones a todos los sistemas y programas que utilizamos son cada vez más frecuentes, el uso de sistemas de acceso remoto ha crecido exponencialmente debido al crecimiento del home Office provocado por la pandemia, así como la falta de monitoreo de todos los equipos al estar fuera de la red. Todo estos son ejemplos de los elementos que hacen vulnerables nuestros sistemas y que de no ser atendidos podamos salir en la lista de los grupos cibercriminales.

Es de suma importancia generar una cultura de ciberseguridad en las empresas, así como el monitoreo, revisiones y auditorías en las entidades, para ayudar a mitigar este riesgo, también es muy importante contar o desarrollar planes de contingencia para casos como este. Logrando estar siempre alertas y listos para actuar en caso de un ataque similar.

Conocer que es lo que está pasando alrededor, conocer nuestras fortalezas y debilidades siempre nos ayudará a saber cómo debemos reaccionar y sobre todo a estar listos y actualizados.

Back to list

Leave a Reply

Your email address will not be published.