El equipo de inteligencia de amenazas de Lumu ha detectado un incremento de 300% en la actividad de ransomware en México. El grupo conocido como LockBit es responsable de la mitad de los ataques que se han presentado en lo corrido del año, entre sus víctimas más recientes se encuentra el Gobierno Municipal de Juarez. Esta alerta entrega información estratégica para evitar que más organizaciones
sean víctimas de ransomware y se puedan anticipar a este tipo de ataques que típicamente terminan en brechas de datos similares a la que afectó al Buró de Crédito o a la Secretaría de Administración y Finanzas de México.
¿Cuáles son las consecuencias para las organizaciones mexicanas ante esta realidad?
El equipo de inteligencia de amenazas de Lumu ha detectado que el tipo de ataques de ransomware que se vienen registrando en México generan principalmente 4 tipos de impacto:
- Filtración y pérdida de información confidencial – Actualmente los atacantes cuentan con técnicas y herramientas que les permite no sólamente secuestrar el acceso a la información sino también robar de forma sigilosa datos que puedan ser comercializados en mercados ilegales.
- Abuso de la infraestructura tecnológica – Los grupos de ransomware se están aprovechando de la dificultad que tienen las organizaciones para detectar la presencia de cibercriminales en la red, lo que les permite monetizar los recursos de cómputo disponibles en las mismas. Los atacantes pasan desapercibidos un promedio de 207 días dentro de la red de las empresas, y aprovechan para minar criptomonedas, comercializar puertas de entrada a la infraestructura, y generar redes de computadores zombies (botnets) que están siendo arrendadas a otros grupos cibercriminales.
- Interrupción de la operación – No es coincidencia que los sectores más afectados por ataques de ransomware sean el sector gobierno (15,2%) y el de manufactura (18,2%). La interrupción del acceso a servicios vitales para la ciudadanía y la disrupción a las cadenas productivas generan caos y presión en la sociedad para forzar los pagos de rescates y extorsiones por parte de las víctimas.
- Afectaciones a la reputación – Actualmente el modelo de extorsión de los grupos de ransomware no sólamente se basa en pedir un rescate por el control de la red, sino que también amenazan a sus víctimas con publicar información de sus clientes y proveedores, lo que se traduce en contratos cancelados, pérdida de confianza por parte de terceros, afectaciones económicas y un ciclo vicioso en el que más organizaciones y personas pueden llegar a ser atacadas.
¿Cómo operan los grupos detrás de estos ataques?
México se enfrenta a un panorama en el que grupos como Lockbit, Conti y BlackCat dominan el top 3 de ciberdelincuentes más activos en el país. Estos grupos operan bajo el esquema de Ransomware como servicio (RaaS), es decir que están en capacidad de asociarse con otros atacantes (afiliados) el cual permite intercambiar técnicas, herramientas y control de las redes a las que acceden.
El equipo de expertos ha identifcado que particularmente LockBit, responsables del 32,8% de los ataques de ransomware registrados en el país durante los dos últimos años, y responsables también del reciente ataque al Gobierno Municipal de Juárez, utiliza una variedad de técnicas que están poniendo en jaque a los equipos de ciberdefensa. Algunas de estas son:
- Técnicas anti forenses – Tienen el fin de sabotear las investigaciones. Esto se traduce en un panorama en el que difícilmente se llegue a dar con el paradero de los responsables.
- Borrado de servicios y puntos de recuperación – Esto le permite a los atacantes tener una ventaja que obligue a sus víctimas a ceder ante las extorsiones. Al eliminar las fuentes de respaldo de información logran impedir que las víctimas puedan ejecutar sus planes de continuidad de negocio correctamente.
- Capacidad de autopropagación – El código malicioso que está siendo usado por los atacantes les permite identificar e infectar más dispositivos a mayor velocidad. Esto reduce la ventana de acción que tienen los equipos de ciberdefensa para responder ante los ataques, una vez que inicia el proceso de propagación por la red las consecuencias son catastróficas.
- Evasión y desactivación de soluciones EDR y antimalware – El nivel de sofisticación de estos ataques les permite inutilizar este tipo de soluciones aprovechándose de debilidades en los sistemas operativos y usando herramientas legítimas como CobaltStrike que típicamente son usadas por los equipos de ciberdefensa.
Desde Lumu Technologies estamos seguros de que es posible anticiparse a los ataques que se vienen presentando en México, inclusive es posible tomar medidas en caso de que ya se tenga un ataque en curso dentro de su red.