Descubren nuevos ciberataques rasomware contra empresas

Descubren nuevos ciberataques rasomware contra empresas

Los investigadores de Kaspersky Lab descubrieron una nueva y alarmante tendencia: cada vez más los cibercriminales dejan de centrar su atención en ataques contra usuarios privados para enfocarse en ataques de ransomware contra empresas. Por lo menos ocho grupos de ciberdelincuentes han sido vinculados al desarrollo y distribución de ransomware cifrado. Los ataques han afectado principalmente a las organizaciones financieras en todo el mundo. Los expertos de Kaspersky Lab han encontrado casos en que las demandas de rescate ascendieron a más de medio millón de dólares.

Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado organizaciones financieras en todo el mundo; el infame grupo Mamba; y seis grupos sin nombre que también tienen como objetivo a usuarios corporativos. Cabe señalar que estos seis grupos previamente estuvieron involucrados en ataques dirigidos principalmente a usuarios privados y usaron modelos de programas afiliados.

Captura de pantalla 2017-04-12 a las 09.28.28Ahora, han reorientado sus esfuerzos hacia las redes corporativas. Según los investigadores de Kaspersky Lab, la razón de esta tendencia es clara: los ataques de ransomware dirigidos a empresas son potencialmente más rentables en comparación con los ataques masivos contra usuarios privados. Un ataque exitoso de ransomware contra una empresa fácilmente puede detener sus procesos operativos durante horas o incluso días, por lo que hay una mayor probabilidad de que sus propietarios paguen el rescate.

En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan a la organización objetivo con malware por medio de servidores vulnerables o lanzan correos electrónicos de phishing. Posteriormente se enfocan en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, para después demandar un rescate a cambio de descifrarlos. Si bien comparten similitudes, algunos grupos tienen características propias y únicas.

Captura de pantalla 2017-04-12 a las 09.28.53Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los atacantes se posicionan en la red, instalan el cifrador sobre ella, usando una herramienta legal para el control remoto de Windows. Este método hace que tales acciones sean menos sospechosas para el personal de seguridad de la organización objetivo. Los investigadores de Kaspersky Lab han encontrado casos en los que el rescate ascendía a un Bitcoin (que a finales de marzo 2017 equivale a alrededor de 1000 dólares) por el descifrado de cada terminal.

Otro ejemplo de herramientas peculiares, utilizadas en los ataques de ransomware dirigidos, viene de PetrWrap. Este grupo se dirige principalmente a las grandes empresas con una gran cantidad de nodos de red. Los criminales seleccionan cuidadosamente sus blancos para cada ataque, los cuales pueden durar algún tiempo: PetrWrap se ha mantenido activo en una red hasta por seis meses.

PetrWrap“Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando y generando pérdidas financieras tangibles. La tendencia es alarmante a medida que los agentes de ransomware comienzan su cruzada en busca de víctimas nuevas y más rentables. Hay muchos más blancos potenciales de ransomware sin detectar, con ataques que resultan en consecuencias aún más desastrosas”, comentó Anton Ivanov, investigador de seguridad senior, anti-ransom, en Kaspersky Lab.

Ver información original al respecto en Fuente:

Descubren nuevos ciberataques rasomware contra empresas