De acuerdo con un análisis de la unidad de investigación de SILIKN, durante los meses de abril, mayo y junio de 2021, se estima un incremento en los ciberataques contra algunas de las dependencias de gobierno, así como otras organizaciones. Este escenario se presentará previamente a la celebración de las elecciones federales en México el próximo domingo 6 de junio 2021.
El monitoreo realizado por la unidad de investigación de SILIKN señala que algunas de las herramientas que serán utilizadas para atacar sitios web del gobierno y otras instituciones ya se están moviendo en el mercado negro. De igual forma, algunos de los ciberatacantes ya tienen o están buscando tener acceso — mediante técnicas de ingeniería social y especialmente phishing — a los sistemas de dichas organizaciones con la finalidad de lanzar ataques de ransomware.
Además se están movilizando plataformas de noticias falsas — distribuidas mediante herramientas de phishing con la temática de las elecciones — que buscan confundir a la ciudadanía en general y así lograr cierta influencia en la decisión del voto.
Las elecciones federales de México de 2021, denominadas oficialmente por la autoridad electoral como el Proceso Electoral Federal 2020–2021, son las elecciones intermedias que se llevarán a cabo en México el 6 de junio de 2021 para la elección de los quinientos miembros de la cámara federal de diputados. Debido a la reforma electoral de 2014, en estas elecciones se elegirán simultáneamente los puestos a cargos federales y locales en treinta y dos entidades federativas del país.
En este sentido los sitios web de las organizaciones, dependencias e instituciones que pueden estar en peligro son, en orden de análisis de riesgo y probabilidad de ser vulnerados:
- Instituto Nacional Electoral (INE) https://www.ine.mx/ (68.31%)
- Gobierno de México https://www.gob.mx/ (62.09%)
- Central Electoral del INE https://centralelectoral.ine.mx/ (61.74%)
- Certeza 2021 del Centro Electoral del INE https://centralelectoral.ine.mx/certeza2021/ (61.72%)
- INE Estados https://centralelectoral.ine.mx/estados/ (61.70%)
- INE Voto y Elecciones https://centralelectoral.ine.mx/category/elecciones/ (60.98%)
- Presidencia de la República https://presidente.gob.mx/ (60.82%)
- Partido Revolucionario Institucional (PRI) (59.75%)
- Partido Acción Nacional (PAN) (58.65%)
- Movimiento Regeneración Nacional (Morena) (58.60%)
- Petróleos Mexicanos (PEMEX) https://www.pemex.com/ (57.01%)
- Comisión Federal de Electricidad (CFE) https://www.cfe.mx/ (57.00%)
- Secretaría de Economía (SE) https://www.gob.mx/se (56.22%)
- Banco de México https://www.banxico.org.mx/ (56.07%)
- Servicio de Administración Tributaria (SAT) https://www.sat.gob.mx/ (55.55%)
- Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) https://www.condusef.gob.mx/ (49.29%)
Es importante señalar que estos sitios presentan una fuerte tendencia a caer víctimas de ciberataques entre abril y junio de 2021, pero con las respectivas medidas preventivas en ciberseguridad es posible mantenerlos ilesos. Esta alerta es un llamado a redoblar esfuerzos en la protección de los sitios, así como de la información contenida en ellos. De igual forma aparecen sitios que aparentemente no tienen relación específica con las elecciones pero que también han sido identificados como posibles víctimas de estos ciberataques, debido a que ya han recibido ataques previos y algunas cepas de malware pueden estar presentes — e indetectables — en sus sistemas.
De igual forma, el análisis realizado encontró la presencia de grupos de ransomware como Clop, PYSA, Ryuk, Egregor y REvil/Sodinokibi, así como sus grupos derivados, que podrían tener participación en estos ataques. Otros grupos que podrían tener actividad son: Avaddon, Conti, DarkSide, Ragnar y SunCrypt.
¿Qué tipos de ransomware se pronostica que puedan ser explotados o ejecutados contra los sitios web y sus respectivos sistemas y usuarios?
- Clop Ransomware: La unidad de investigación de SILIKN ha observado un aumento en la actividad de ransomware Clop que afecta a las industrias de venta al por mayor y al por menor, transporte y logística, educación, fabricación, ingeniería, automotriz, energía, financiera, aeroespacial, telecomunicaciones, servicios profesionales y legales, salud y alta tecnología en Estados Unidos, Europa, Canadá, Asia Pacífico y América Latina.
- PYSA Ransomware: PYSA se clasifica como una herramienta de ransomware como servicio (RaaS). Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones delictivas, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.
- Sodinokibi Ransomware: Sodinokibi es un ransomware para sistemas Windows cuya propagación sigue el modelo RaaS (Ramsonware as a Service), es decir, código malicioso que se comercializa de forma personalizada, ajustándose a las necesidades de cada uno de los suscriptores.
- HCrypt: Durante 2021, la unidad de investigación de SILIKN identificó un mayor uso de la criptografía HCrypt. HCrypt es un criptográfico como servicio que se comercializa como un cargador FUD (totalmente indetectable) para la RAT de elección del cliente.
- Greed: Greed es un software malicioso categorizado como ransomware que encripta datos y exige un rescate. Se descubrió en el mes de abril 2021, por lo que todavía faltan detalles acerca de su alcance y peligrosidad.
- Uniwinnicrypt: Uniwinnicrypt es otro ransomware que cifra archivos y luego exige un rescate para descifrarlos. Se descubrió en abril de 2021 por lo que todavía faltan detalles acerca de sus alcances.
Un aspecto a señalar es que estas familias de ransomware son las que presentan más actividad en este análisis, pero no son las únicas, por lo que se recomienda a las organizaciones, hacer uso de herramientas de seguridad y monitoreo que permitan la identificación de otras amenazas.
Por: Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000.