Ransomware 2.0 - Contrarrestando la nueva generación de ataques impulsados por el COVID-19

Los ciberataques en forma de ransomware están creciendo y evolucionando durante esta pandemia mundial. El Centro Criptológico Nacional ha identificado más de 24.000 dominios registrados en línea con los términos "coronavirus", "covid19" y "Covid-19", de los cuales más de 16.000 fueron creados en marzo de 2020, y en su mayoría con fines maliciosos. id:57996

Con la propagación de la enfermedad del coronavirus (COVID-19) en todo el mundo, los ciberdelincuentes están aprovechando el miedo y la incertidumbre para lanzar ataques de ransomware contra las instituciones sanitarias que tratan a los pacientes y también realizan pruebas para la vacuna COVID-19. El equipo de respuesta a la amenaza de la delincuencia cibernética de la INTERPOL ha observado un aumento significativo en la tasa de intentos de ataques de ransomware contra instituciones clave que participan directamente en la lucha.

En el pasado, los autores del ransomware operaban de una manera específica bloqueando el sistema y exigiendo un rescate por la clave de desencriptación, pero la situación está cambiando rápidamente. Echemos un vistazo a cómo funcionan estos rescates de esta nueva era.

¿Cuál es el próximo Ransomware?

Los ciberdelincuentes están ahora emparejando la encriptación del ransomware con el robo de datos. Además de cifrar datos y pedir un rescate, los ciberdelincuentes han empezado a robar credenciales mientras cifran archivos críticos. El recientemente descubierto ataque de NetWalker es un ejemplo clásico de este tipo de ataques.

Este ataque llega a través de un correo electrónico de phishing con un documento de MS Word y una contraseña. Una vez que el usuario hace clic y abre el documento de Word, se inyectan dos cargas útiles en el sistema del usuario. Una de las cargas útiles encripta los archivos del sistema afectado mientras que la otra roba todas las credenciales almacenadas, incluyendo las credenciales en línea. De hecho, la encriptación es sólo el encubrimiento para el robo de credenciales.

¿Cómo funciona el Ransomware 2.0?

Con la propagación de la pandemia COVID-19, las VPNs y los servicios de acceso remoto son vitales para la continuidad del negocio. Sus papeles en las redes corporativas han sido cambiados. Han evolucionado de ser sólo canales de soporte que llevan una pequeña fracción de la actividad de la red, ahora estos servicios se han convertido en los canales principales que proporcionan la mayor parte del acceso a los recursos de las instalaciones. Dado que antes sólo se accedía a esos servicios ocasionalmente, muchas empresas no han corregido las vulnerabilidades de seguridad de los servicios. Aquí reside una gran oportunidad para los atacantes.

Las vulnerabilidades de ejecución de código remoto en el Protocolo de Escritorio Remoto (RDP) son fáciles de infiltrar. Por ejemplo, la vulnerabilidad de BlueKeep, que es extremadamente infiltrable, sigue ahí fuera y los atacantes están tratando de desarrollar un exploit para ello. Considerando la seriedad de esta laguna de seguridad, Microsoft incluso publicó parches para sistemas operativos como Windows XP y Vista, que fueron declarados EOL. BlueKeep es solo una de esas vulnerabilidades. Hay numerosas vulnerabilidades conocidas y desconocidas basadas en RDP y VPN por ahí, proporcionando a los atacantes un gran paisaje de ataque y también una forma fácil de intrusión en la red corporativa.

Además, los ataques como el ransomware de NetWalker están explotando las vulnerabilidades de Microsoft Word RemoteCodeExecution. En marzo de 2020, Microsoft publicó un parche para una de estas vulnerabilidades, CVE-2020-0852. Esta vulnerabilidad puede permitir que el malware se ejecute en un sistema cuando el usuario simplemente ve un archivo de Word especialmente creado en el panel de vista previa de MS Outlook. Microsoft ha advertido que el panel de vista previa de Outlook es también un vector de ataque para esta vulnerabilidad. Una vez más, es probable que haya muchas vulnerabilidades similares desconocidas por ahí. Parchear los sistemas cuando sus empleados están trabajando desde casa es un proceso que consume mucho tiempo. Además de explotar los ataques, los atacantes pueden ahora aprovechar esta ventana de parcheo ampliada para lanzar ataques.

¿Cómo podemos hacer frente a los ataques de Ransomware?

Caza de amenazas. Actualiza constantemente tu sistema de inteligencia de amenazas con fuentes dinámicas de amenazas y mantente protegido contra el creciente número de ataques basados en COVID-19 y de los dominios maliciosos que se están creando para aprovechar el pánico.

Parchea tus sistemas regularmente. No dejes de lado la VPN y las plataformas de acceso remoto. Ten el máximo cuidado de parchear los dispositivos de endpoint utilizados por los empleados de forma remota.

Mantente informado. Vigila el malware recién descubierto y configura los indicadores de compromiso en función de sus archivos y métodos de trabajo. Esto no evitará que el ataque ocurra, pero definitivamente detendrá el ataque en una etapa temprana y minimizará el daño.

Haz que tu solución de análisis de comportamiento desaprenda y vuelva a aprender los patrones de comportamiento del usuario y de la entidad. Reconfigura el sistema para ajustar las puntuaciones de riesgo de acuerdo con los comportamientos de trabajo a distancia.

No dejes que tus empleados caigan en la trampa de los correos electrónicos de phishing. Comunícalo a los empleados a través de sus foros internos o por correo electrónico, abordando los ataques de phishing que se producen y enseñándoles cómo evitar los correos electrónicos falsos.

En este momento, es esencial que tomemos nuestra salud digital tan seriamente como tomamos nuestra salud física. Un sistema comprometido es un sistema que enferma fácilmente, igual que el cuerpo humano.