En dicho aviso se destacan las estrategias y técnicas utilizadas por delincuentes digitales así como la sofisticación general que muestran, de esta manera, cada vez más el ransomware representa una amenaza para la iniciativa privada y el sector público a nivel global. Esta alerta se basó en 14 incidentes detectados dirigidos a 16 sectores de infraestructura crítica dentro del territorio de Estados Unidos.
En primera instancia destaca el acceso a redes a través de phishing por mail, credenciales de protocolos de escritorio remoto (RDP), en algunos casos robadas. Así es posible explotar vulnerabilidades en RDP o software, los cuales son los principales vectores de infección inicial en un incidente de ransomware. También se aprovechan de los servicios por contrato basados en dicha amenaza (RaaS) e incluso para la recepción de los pagos de rescate.
Puntualmente los grupos euroasiáticos comparten información de los objetivos, así diversifican el impacto de la amenaza, ejemplo de ello es la migración de víctimas entre las organizaciones BlackMatter y Lockbit 2.0. Otro comportamiento destacado es la expansión hacia el segmento medio, donde las principales víctimas son empresas, organizaciones no lucrativas y servicios públicos en sectores como educación, gobierno y salud.
Organizaciones que firman el aviso
- Agencia de Ciberseguridad e Infraestructura de EU (CISA)
- Buró Federal de Investigaciones de Estados Unidos (FBI)
- Agencia Nacional de Seguridad de EU (NSA)
- Centro de Ciberseguridad de Australia (ACSC)
- Centro Nacional de Seguridad Cibernética del Reino Unido (CNSC)
También crecieron esquemas de ataque de triple extorsión que consisten en amenazas con la divulgación de datos confidenciales, además de la interrupción del acceso a Internet y finalmente con informar a socios, accionistas y proveedores sobre el incidente. De hecho, los delincuentes enfocan sus ataques a las infraestructuras cloud para aprovechar vulnerabilidades como aplicaciones, APIs o sistemas de almacenamiento o respaldo.
Recomendaciones y soluciones
Para enfrentar esta amenaza se recomienda mantener sistemas operativos y software actualizados para tener los parches de seguridad más recientes, también es necesario hacer un mejor uso de los RDP que pueden representar vulnerabilidades. También se debe poner énfasis en la capacitación y concientización del personal además de adoptar modelos de segmentación de la red y cifrado de extremo a extremo.
Por su parte el sistema de nombres de dominio (DNS) puede disminuir el riesgo que representan las amenazas digitales, ya que los atacantes pueden usar dominios maliciosos para infiltrarse. Ante esto soluciones de firewall o IPS resultan inútiles, de hecho la seguridad de DNS brinda una mayor visibilidad y por lo tanto una mejor protección, en este sentido destaca la propuesta de Infoblox, BloxOne Threat Defense.
Dicha solución combina análisis avanzados basados en aprendizaje automático e inteligencia de amenazas de alta precisión, a esto se suma la integración con sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones ITSM, escáneres de vulnerabilidades y otros ecosistemas de protección. De acuerdo con Gartner, las organizaciones también pueden aprovechar los registros DNS para usos forenses.