La unidad de investigación de SILIKN lanza una alerta sobre una nueva tendencia en los
ataques de ransomware en los que se implementan múltiples cepas en las redes de las víctimas con la finalidad de cifrar los sistemas previamente vulnerados en un lapso de tiempo posterior a la vulneración que puede ir desde los siguientes 2 días hasta 6 meses después. Las dependencias de gobierno están en la mira.
En este tipo de ataques, que se están presentando con diferentes grupos criminales de ransomware y se han incrementado desde finales de agosto de 2023, se utilizan al menos dos variantes distintas de ransomware con las cuales impactan a las organizaciones víctimas.
Los grupos que han presentado esta forma de ataque son AvosLocker, Kelvin Security, BlackByte, Diamond, Hive, Royal, Karakurt, LockBit, ALPHV/BlackCat, Quantum, NoEscape, 8Base, RagnarLocker y LostTrust.
Un punto crucial a señalar es que como parte del procedimiento, los grupos antes mencionados, han dejado cepas de ransomware instaladas en sus víctimas, las cuales están utilizando para posteriores ataques, por lo que la unidad de investigación de SILIKN alerta a las organizaciones que han sido vulneradas por estos grupos cibercriminales, pues podrían recibir un nuevo ataque en el transcurso de las 48 horas posteriores al incidente y hasta 6 meses después.
En este sentido, la mayoría de los grupos cibercriminales antes señalados ya han atacado organizaciones e instituciones gubernamentales en México, por lo cual, al menos 40 dependencias están en alto riesgo de recibir un nuevo ataque de ransomware, entre las que se encuentran:
- Pemex
- Lotería Nacional
- Instituto Mexicano del Seguro Social
- Banxico
- Buró de Crédito
- Gobierno de la Ciudad de México
- Comisión Nacional del Agua
- Comisión Federal de Electricidad
- Secretaría de la Defensa Nacional
- Secretaría de Desarrollo Agrario, Territorial y Urbano
- Secretaría de Agricultura y Desarrollo Rural
- Secretaría de Hacienda
- Secretaría del Bienestar
- Secretaría de Cultura
- Secretaría de Economía
- Secretaría de Educación Pública
- Secretaría de Energía
- Secretaría de la Función Pública
- Secretaría de Hacienda y Crédito Público
- Secretaría de Marina
- Secretaría de Relaciones Exteriores
- Secretaría de Salud
- Secretaría del Trabajo y Previsión Social
- Secretaría de Turismo
- Secretaría de Gobernación
- Secretaría de Medio Ambiente y Recursos Naturales
- Secretaría de Infraestructura, Comunicaciones y Transportes
- Comisión Nacional Bancaria y de Valores
- Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros
- Secretaría Administración y Finanzas de la Ciudad de México
- Comisión Nacional de Seguros y Fianzas
- Gobierno Municipal de Chihuahua, Chihuahua
- Gobierno Municipal de Zamora, Michoacán
- Gobierno Municipal de Juárez, Chihuahua
- Secretaría de Salud de Morelos
- Secretaría de Salud de Veracruz
- Educal
- Colegio de San Luis
- Instituto Nacional De Medicina Genómica
- Administración Portuaria Integral de Quintana Roo
Además, la unidad de investigación de SILIKN ha detectado que los grupo cibercriminales han hecho modificaciones e innovaciones al código del ransomware, con lo cual han logrado implementar funciones nuevas como infostealers (malware para robo y exfiltración de datos), wipers (malware para destruir información sin posibilidad de recuperación), rootkits (malware para permanecer inactivo en los sistemas comprometidos hasta un momento predeterminado), así como malware para poder evadir la detección de los sistemas de seguridad.
El tercer trimestre de 2023 será recordado como un nuevo récord para la industria del ransomware, ya que fue el trimestre más exitoso jamás registrado. Si bien el número se disparó en el segundo trimestre con 1525 casos, en el tercer trimestre la industria del ransomware pudo superar esta cifra con 1822 casos a nivel mundial. No sorprende que el sector gobierno y el de servicios empresariales sean los más afectados.
Además, las nuevas caras que se introdujeron en la industria (como 3AM y Rhysida), junto con la campaña MOVEit (aprovechada por Cl0p), cobraron muchas víctimas y esto, combinado con la consistencia del líder de la industria LockBit, dio como resultado impactos devastadores para organizaciones de todo el mundo.
A las dependencias del gobierno mexicano antes mencionadas y, en general, a todas las organizaciones del país se les hace una atenta invitación a atender a las siguientes recomendaciones:
- Realizar copias de seguridad de los archivos con frecuencia. Esto ayudará a recuperar los datos si son cifrados por ransomware.
- Mantener actualizado el software. Las actualizaciones de software suelen incluir parches que corrigen vulnerabilidades que pueden ser explotadas por el ransomware.
- Utilizar un antivirus y antimalware de confianza. Este software puede ayudar a detectar y eliminar el ransomware antes de que pueda cifrar los datos.
- No abrir archivos adjuntos de correo electrónico de remitentes desconocidos. El ransomware a menudo se propaga a través de archivos adjuntos de correo electrónico infectados.
- Tener cuidado con los enlaces en los correos electrónicos y las redes sociales. Los enlaces maliciosos pueden conducir a sitios web que descargan ransomware en los sistemas.
- Usar un firewall. Un firewall puede ayudar a bloquear el acceso a la red desde fuentes no autorizadas.
- Habilitar la autenticación de dos factores. La autenticación de dos factores agrega una capa adicional de seguridad a las cuentas de los usuarios.
- Educar a los empleados sobre las amenazas de ransomware. Es importante que los empleados estén al tanto de los riesgos de ransomware y sepan cómo protegerse.
Por Víctor Ruiz, fundador de SILIKN