Bienvenido a la nueva normalidad: más ataques de ransomware
¿Qué ocurre cuando se combina la estructura y enfoque del crimen organizado con la organización y escala de un Estado Nación? Se obtienen dos ataques de ransomware de alcance global como ningún otro que el sector haya visto antes. Bienvenidos a la nueva normalidad.
La semana pasada se desencadenó, a escala global, otro ataque del tipo ransomware, llamado Petya, que de acuerdo con los informes impactó en más de 12 mil computadoras, encriptando sus discos duros e inutilizándolos.
Petya utilizó un exploit descubierto por la Agencia Nacional de Seguridad de Estados Unidos (NSA por sus siglas en inglés) y lanzada por el grupo de hackers Shadow Brokers, donde se encriptaron los datos (en esta ocasión en los discos duros, en vez de hacerlo en los archivos individuales) y exigieron 300 dólares en Bitcoins. Denominado External Blue, este exploit es una exposición de Bloques de Mensajes del Servidor (SMB) que afecta principalmente a las máquinas de Windows, y provee el tipo de exposición por el cual se esfuerzan los Estados Nación: una aplicación bien arraigada en internet y ampliamente utilizada tanto por las empresas privadas como por los organismos gubernamentales.
A diferencia de WannaCry, distribuido escaneando sistemas de internet vulnerables que ejecutaban SMB en la internet pública, Petya fue distribuido internamente a través de una dependencia de la cadena de suministros, mediante una aplicación de software contable llamada MeDoc. Aparentemente, estos actores maliciosos agregaron el exploit
a la distribución de MeDoc, que luego se abrió campo para llegar a los clientes, comprometiendo los sistemas internos de la compañía, aprovechando el exploit EternalBlue.
Muchas compañías protegieron su visibilidad pública a EternalBlue, aunque aparentemente no pasó lo mismo con su susceptibilidad interna, y esto posibilitó que Petya se esparciera rápidamente a escala global. Petya fue particularmente destructivo por naturaleza, toda vez que encriptó el Registro de Arranque Maestro –Master Boot Record- impidiéndole a los usuarios ingresar al sistema y tornando inutilizable a la PC en su totalidad.
WannaCry y Petya representan una nueva era de ataques extorsivos, donde los grupos del crimen organizado buscan exploits que les den la mayor cantidad de víctimas en el menor tiempo posible. En lugar de ransomware "dirigido", que opera esperando un elevado porcentaje de participación de pago de víctimas específicas, ésta es una técnica ransomware más del tipo "spam". Procura infectar a la mayor cantidad de personas posible; es decir, que aún con un porcentaje de participación menor, reditúa más que los ataques dirigidos concentrados.
Además, Petya también agregó el elemento de dependencia de la cadena de suministro –compañías que aceptan actualizaciones de los proveedores directamente en las producciones. Si bien éste no es el primer y principal riesgo para las compañías de un ataque al proveedor de la cadena de suministros (target, etcétera) es algo de lo que tomarán nota otros cibercriminales.
Entonces, ¿qué hacer para protegerse? A continuación, algunas recomendaciones:
• Realice un backup de sus datos críticos.
• Emparche sus sistemas lo más rápido posible.
• Segmente sus sistemas de producción y de usuarios para contener la dispersión de las infecciones y de los peligros.
• Instruya a sus usuarios acerca de los peligros del phishing.
• Acepte las nuevas actualizaciones de su cadena de suministro, primero en un entorno de prueba y monitoree dicho entorno de prueba buscando infecciones.
• Solicíteles a sus proveedores de seguridad, firmas específicas para los exploits de los Shadow Brokers, para poder determinar cuando alguien está tratando de usarlas en su entorno.
• No pague ransomware (rescate). Rara vez recuperará sus archivos. Más importante aún: quedará etiquetado como alguien que va a pagar.
• Contacte a su proveedor de servicios de internet (ISP, por la sigla en inglés de Internet Service Provide) para que lo ayude a rastrear y a bloquear los ataques contra sus puntos de acceso a internet.
Para mayor información sobre cómo proteger su negocio de un ataque ransomware, ingrese al blog de Dale Drew "Ransomware: Una Verdadera Historia de Terror".
(*) Dale Drew es Chief Security Officer de Level3
Acerca de Level 3 Communications
Level 3 Communications, Inc. (NYSE: LVLT), una empresa clasificada en el ranking Fortune 500, provee servicios de comunicaciones a escala local, nacional y global, para clientes empresariales, gubernamentales y mayoristas. Su portafolio integral incluye soluciones de fibra y de infraestructura; comunicaciones de datos y voz basadas en IP; servicios de Ethernet de área amplia; distribución de video y de contenidos; soluciones de data center y de servicios en nube. Level 3 atiende a clientes de más de 500 mercados en más de 60 países. Para obtener más información, por favor visite www.level3.com o conozca más sobre nosotros en Twitter, Facebook y LinkedIn.
© Level 3 Communications, LLC. Todos los derechos reservados. Level 3, Vyvx, Level 3 Communications, Level (3) y el logotipo de Level 3 son marcas de servicio registradas o marcas de servicio de Level 3 Communications, LLC y/o de una de sus Subsidiarias en los Estados Unidos y/o en otros países. Los demás nombres de servicios, productos, empresas o logos incluidos en el presente son marcas comerciales o marcas de servicio de sus respectivos propietarios. Los servicios de Level 3 son suministrados por las subsidiarias de Level 3 Communications, Inc.
Declaración prospectiva
Algunas declaraciones realizadas en este comunicado de prensa son de naturaleza prospectiva y se basan en las actuales expectativas o creencias de la gerencia. Estas declaraciones no son una garantía de desempeño y están sujetas a incertidumbre u otros factores, muchos de los cuales están fuera del control de Level 3, lo que podría provocar diferencias importantes entre los eventos reales y lo expresado o implicado en las declaraciones. Algunos factores importantes que podrían impedir que Level 3 alcanzara sus metas declaradas son, entre otros, la capacidad de la empresa de: aumentar los ingresos de sus servicios para realizar sus metas de desempeño de carácter financiero u operativo; desarrollar y mantener sistemas efectivos de soporte comercial; gestionar fallas o interrupciones del sistema y de la red; evitar violaciones de su red y de las medidas de seguridad del sistema de información; desarrollar nuevos servicios que cumplan con las demandas de los clientes y generen márgenes aceptables; gestionar la expansión o adaptación futura de su red para permanecer competitivos; defender la propiedad intelectual y los derechos de su propiedad; gestionar el riesgo asociado con la continua incertidumbre en la economía global; gestionar la disminución continuada o acelerada del precio del mercado de los servicios de comunicaciones; obtener la capacidad necesaria para su red de otros proveedores e interconectar su red con otras redes en términos favorables; integrar exitosamente las adquisiciones futuras; gestionar efectivamente los riesgos políticos, legales, regulatorios, de moneda extranjera, y otros a los que esté expuesta debido a sus sustanciales operaciones internacionales; mitigar su exposición a las responsabilidades contingentes; y cumplir con todos los términos y condiciones de sus obligaciones de deuda. Es posible obtener más información sobre estos y otros factores importantes en los documentos que Level 3 presentó ante la SEC. Las declaraciones hechas en este comunicado de prensa deberán evaluarse considerando estos importantes factores. Level 3 no se encuentra obligada, y renuncia expresamente a cualquier obligación de actualizar o alterar su declaración prospectiva, ya sea como resultado de información nueva, eventos futuros u otros factores.
Fuente: Dale Drew – level3.com (*)