EXISTE UNA INDUSTRIA DE RANSOMWARE EN AMERICA LATINA

7a. Cumbre Latinoamericana de Analistas de Seguridad en Buenos Aires, Argentina

De acuerdo con Santiago Pontiroli, analista de seguridad para Kaspersky Lab América Latina en su ponencia “El Lado Oscuro del Ransomware”, en ocasión de la 7ma. Cumbre Latinoamericana de Analistas de Seguridad llevada a cabo en Buenos Aires, Argentina, estamos viendo una evolución de los ataques de ransomware, pasando de usuarios hogareños, a ataques dirigidos a empresas y a industrias enteras.

“Los criminales aprovechan algún tema interesante o alguna figura pública, de la farándula o política, para que la campaña sea lo más mediática posible, esto con la finalidad de tener mucha atención y de esta forma, garantizar que las personas que están infectadas sientan que la situación es seria y paguen por sus archivos”, dijo el experto.

Así lo mencionó también Eugene Kaspersky, presente en la Cumbre: “El negocio del ransomware va bien, pero todos los negocios del planeta siempre quieren mejorar”, destacando que el cibercrimen hoy no hace más que sumar pérdidas de dinero para todo el mundo, literalmente. Se estima que actualmente el cibercrimen le cuesta al mundo US$450 mil millones, una cifra que dista mucho a los US$33 mil millones que representa a todo el presupuesto espacial de todos los países que tienen programas en este campo.

El panorama hoy es el siguiente: Hasta hace muy poco los troyanos bancarios se llevaban el premio de los mayores ataques registrados, pero hoy, advierte Pontiroli, el ransomware se lleva el primer lugar, porque es un robo más rápido, se infecta la computadora, se pide un rescate y se espera una recompensa entre US$300 y US$500.

Ver   https://www.youtube.com/watch?v=K99JyWr6iGY
Santiago Pontiroli Kaspersky Lab

En Latinoamérica

Los ataques por ransomware en América Latina han experimentado un aumento anual de 30% entre 2014 y 2016, con todos los indicadores apuntando a que esta tendencia se mantendrá en 2017. Kaspersky Lab registró 57.512 detecciones, y en lo que va de este año, se han reportado 24.110 detecciones, aumentando este número día a día.

Brasil encabeza la lista de los países con mayor número de secuestros de datos con 54.91% de los ataques consignados, seguido por México con 23.40% y Colombia con 5%. Mundialmente, los países más afectados son Turquía con 7.93%, Vietnam 7.52% e India 7.06%.

“Hay mucho desarrollo interno dentro de América Latina, especialmente hecho en Brasil. Estamos viendo no sólo ransomware, sino kits de construcción. Hay uno en particular que se llama Stampado, que cuesta US$400 la suscripción e incluye: un manual de usuario, una interfaz gráfica, un ejecutable- que se abre en Windows- y en la que el criminal puede poner el nombre que quiere que tenga su ransomware, dónde quiere recibir los pagos, y hasta dónde quiere hospedar el sitio”, explica.

Adicionalmente, estos kits traen una opción de “ruleta rusa”, con la que el cibercriminal puede borrar un archivo a la víctima cada cierto tiempo, como medida de presión. Pero también, está la opción de “mercy” con la que se pueden devolver. “Las personas no requieren conocimientos de informática a la hora de realizar sus ataques. Estamos viendo muchas infecciones que están escritas en lenguaje portugués”, informó.

El cuanto a México, que ocupa el segundo lugar, el analista dijo que aún no se ha registrado una industria de ransomware mexicana, pero sí hay infecciones en la creación de malware para cajeros automáticos.

“Desde 2016 a la fecha, la mitad del malware detectado en América Latina pertenece a la categoría de troyanos, siendo Trojan-Ransom el de crecimiento más acelerado”, asegura Pontiroli.

Conozcamos su potencial

Hasta hace muy poco el objetivo del ransomware era sólo obtener dinero. Pero este año la situación cambió, hay campañas dirigidas y operaciones de falsa bandera, enfocadas a un cliente o a una industria en particular.

Según los datos de Kaspersky Lab, los ataques de ransomware son dirigidos principalmente al sector salud, además de pequeñas y medianas empresas. La mayoría de estos ataques se realizan a través de acceso remoto, aprovechando contraseñas débiles o servicios configurados de forma incorrecta.

“Existen casos de ransomware en los que nosotros hemos trabajado. Un hospital de Brasil, nos contactó porque fueron víctimas. Se les pedía el pago de un bitcoin y mientras iniciamos la investigación comenzamos a contactar al criminal por correo para ganar algo de tiempo. El ransomware estaba mal generado y pudimos encontrar la manera de descifrarlo. Le dimos esta herramienta al hospital con lo cual pudo salvar sus archivos sin pagar.

También, la extorsión y el sabotaje, es parte de la naturaleza del ransomware que actúa hoy. Hay campañas, explica Pontiroli, en la que se les dice a las víctimas que tienen consigo material ilícito y que tienen que pagar una recompensa antes de que se le informe a sus familiares. Pero también están los casos en que le piden a los afectados poner un mensaje político en un foro público y en contra del gobierno y aquí no quieren dinero.

Vulnerabilidades, exploits y ransomworms, están a la orden del día, advierte. “WannaCry y Petya aprovecharon las vulnerabilidades que habían sido filtradas, así como los exploits, para poder distribuirse de forma automática, es decir, ya no era una infección manual, sino que tenían características de gusanos y podían propagarse automáticamente”, dijo.

Las principales formas de ataque que tiene estos criminales es mediante servicios VNC o RDP vulnerables o con contraseñas débiles, servicios que utilizan los usuarios para ingresar a sus equipos de forma remota y poder así actualizar sus tareas diarias. “Existen en América Latina muchos de estos servicios configurados con contraseñas débiles o mal configuradas. Este tipo de ataque es bastante sencillo”, explica.

Los más sonados

“La amenaza con mayor impacto en América Latina entre 2016 y 2017 ha sido, sin duda, el secuestro de datos. El incremento en la cantidad de ataques dirigidos ha sido notorio y no solo en la Región, sino también en el resto del mundo, por lo que este ciberdelito se ha convertido en una epidemia global que ha causado pérdidas millonarias y daños irreparables en distintas industrias y que, por ahora, no parece detenerse”, afirma el especialista.

WannaCry es el ransomware que puso al mundo de rodillas por un día entero, advierte el analista. Infectó a más de 200 mil equipos alrededor del mundo, máquinas que en un 98% utilizaban sistemas Windows7. El sector de salud del Reino Unido (NHS) fue uno de los más afectados. Los cibercriminales utilizaron exploit EternalBlue y Blackdoor DoublePulsar, para su propagación automática en redes internas y los cibercriminales sólo recaudaron cerca de US$100 mil. “Una epidemia que causó más daños de lo que recibieron sus creadores”, aseveró. En América Latina, la mayor propagación de WannaCry se dio en México y Brasil, seguido por Chile, Ecuador y Colombia.

Schroedinger’s Pet (Ya), parecía un ransomware, pero tenía características diferentes, pues su fin último era el sabotaje y la destrucción de los archivos, sin la posibilidad de recuperación. “Tenía fines de sabotaje, se pagaba rescate y no había forma de recuperar los archivos, el ID se generaba de forma aleatoria, el autor tampoco tenía forma de recuperar la data. La distribución se hizo a través de sitios comprometidos y a través de un software ucraniano, las víctimas elegidas no fueron al azar y los más afectados estaban precisamente en Ucrania y en Rusia”, explicó.

No More Ransom

Con el fin de proporcionar un recurso de utilidad para las víctimas del ransomware, la Policía Nacional de Holanda, Europol, Intel Security y Kaspersky Lab, lanzaron en julio del año pasado la iniciativa “No More Ransom”, un portal en línea (www.nomoreransom.org) donde los usuarios pueden encontrar información sobre qué es esta amenaza, cómo funciona y, lo más importante, cómo protegerse de ella.

Hoy “No More Ransom” une a más de 100 asociados entre organizaciones de la ley, sector público y privado. En la región, el CSIRT del Gobierno de la Ciudad de Buenos Aires y la Policía Nacional de Colombia se encuentran entre sus miembros. Actualmente, el portal está disponible en 14 idiomas, incluyendo el español y portugués, y cuenta con 30 herramientas gratuitas de descifrado que han ayudado a evitar pérdidas de alrededor de U$8.5 millones de dólares.

“Gracias a esta iniciativa sin fines de lucro, más de 30 mil usuarios a nivel global han descifrado sus dispositivos y han podido frenar, en cierta forma, esta amenaza mundial. Hemos cumplido nuestro primer año y seguimos incorporando asociados en un sinnúmero de países”, resalta Pontiroli.

Además, para ayudar a las empresas de todo tamaño combatir el ransomware, Kaspersky Lab desarrolló la herramienta Kaspersky Anti-Ransomware Tool for Business, un software gratuito que brinda seguridad complementaria para proteger a los usuarios corporativos contra el ransomware. La herramienta incluye el componente System Watcher, que detecta actividades de ransomware sospechosas, crea una copia de seguridad temporal de los archivos atacados y anula los cambios maliciosos, sin afectar al sistema. Compatible con productos de seguridad de otros proveedores, Kaspersky Anti-Ransomware Tool for Business es fácil de instalar y no requiere que los usuarios empresariales tengan conocimientos técnicos profundos para configurarla y administrarla.

Pontiroli advierte que la amenaza del ransomware seguirá incrementándose si no se toman adecuadas medidas de prevención. En ese sentido, enfatizó la necesidad de realizar siempre copias de seguridad de los archivos, mantener el sistema operativo y una solución antimalware actualizada; así como filtrar correos que parezcan sospechosos y, más aún, si contienen archivos adjuntos.

¿Qué creen que sucederá con los millones de dispositivos IoT vulnerables?”
Eugene Kaspersky en su intervención aseguró que Internet de las cosas (IoT, por sus siglas en inglés) se está convirtiendo en el nuevo vector de ataque. En 2013 se detectaron 46 muestras de malware para IoT y ya en 2016 la cifra se eleva a 2.509 muestras.

“Este tipo nuevo de cibercriminalidad trasciende las fronteras. Kaspersky sostuvo que incluso instituciones como el Banco Central de Bangladesh han sido atacadas con falsas órdenes de transferencias. Y esto se debe al surgimiento de la Internet de las Cosas, para el cual se estima que en 2020 estará compuesto por más de 25 mil millones de dispositivos conectados.

“En esta IoT se están generando grandes botnets IoT que están convirtiendo a este espacio en un lugar propicio para el cibercrimen; el cual, por cierto, ahora está compuesto por grupos criminales que están actuando en forma coordinada entre ellos. Es decir, el cibercriminal ya no es el chico joven que desde su dormitorio hackea una cuenta por el simple hecho de demostrar que puede hacerlo. Ahora el cibercrimen se encuentra en manos de grupos organizados”, dijo Eugene Kaspersky.

Grupos organizados que no sólo se conforman con robar dinero e información, sino que además, hoy toman el control de la infraestructura crítica de un país como las industrias de servicios públicos. “Ya tenemos casos evidentes: El ataque a Estonia de 2007, el ataque a la infraestructura energética de Ucrania en 2015 y hospitales de Alemania y Estados Unidos en 2016”.

De acuerdo a Pontiroli, las pérdidas por ransomware global, de acuerdo al FBI, fue de US$1.000 millones hasta el año pasado. Estas pérdidas, advierte, están basadas en los reportes oficiales aportados por el FBI. Muchas empresas no van a reportar el caso y esta cifra es bastante baja para lo que creemos que es”.

 

Ver información original al respecto en Fuente: