Los ciberdelincuentes siguen afinando sus estrategias de robo, chantaje y extorsión, con una creciente sofisticación en los programas de malware que emplean. Así lo atestigua un reciente estudio desarrollado por los analistas de Kaspersky.
Los expertos han descubierto un nuevo cargador denominado DarkGate, que cuenta con funciones fuera de lo habitual. Entre ellas figura el empleo de un instrumento VNC (programa que accede al control del ordenador en remoto), el bloqueo de Windows Defender y el robo del historial del navegador y de tokens en Discord. DarkGate se estructura en cuatro etapas y lo que distingue a este loader del resto es que tiene una forma singular de cifrar cadenas por medio de claves personalizadas. También dispone de una versión a medida del algoritmo de codificación Base64 que emplea caracteres especiales.
Los especialistas de la empresa de ciberseguridad también analizaron Emotet, una conocida botnet que vuelve a la primera línea de la ciberdelincuencia tras ser desmantelada en 2021. Emotet emplea OneNote como vector fundamental de ataque. Los usuarios que abren los archivos de esta app ejecutan, sin saberlo, un VBScript que inyecta código malicioso (DLL) con instrucciones ocultas.
El informe también revela una campaña de phishing centrada en dañar a empresas de buques de carga a través de LokiBot, descubierto en 2016 y concebido para el robo de credenciales de navegadores y clientes FTP, entre otras operaciones maliciosas. Este ataque de ransomware se divulga por medio de documentos adjuntos en correos electrónicos. Hablamos de archivos de Excel que aprovechan una vulnerabilidad conocida (CVE-2017-0199) de Microsoft Office para la descarga de un documento RTF que explora otra vulnerabilidad (CVE-2017-11882) para ejecutar LokiBot.
No está de más recordar que estos criminales cibernéticos emplean estos ataques ransomware porque es una forma lucrativa de obtener dinero. Mediante el cifrado de los archivos de la víctima, exigen un rescate para desbloquearlos. Lamentablemente, esta táctica suele dar sus réditos a los ciberpiratas, ya que las víctimas a menudo se sienten presionadas a pagar para recuperar sus datos. No obstante, resulta relevante subrayar que ceder al chantaje no asegura que los archivos sean realmente desbloqueados y, lo peor de todo, favorece el negocio ilícito de los ciberdelincuentes.
Pautas para protegerse de los ataques ransomware
A continuación, espigamos una serie de recomendaciones que los expertos de ciberseguridad aportan para mantenernos a salvo, como profesionales y como empresas, de los ataques de ransomware:
Mantén siempre los equipos actualizados para anticipar ataques que explotan vulnerabilidades para infiltrarse en la red.
Asegúrate de contar con todos los sistemas operativos, aplicaciones y programas actualizados con los últimos parches de seguridad.
Centra la estrategia en la detección de movimientos laterales y brechas de datos en internet. En ese sentido, resulta de gran utilidad poner el foco en el tráfico saliente para detectar conexiones de los cibercriminales a la Red. De ahí que resulte clave hacer copias de seguridad y mantenerlas fuera de conexión. También hay que asegurarse de que estén disponibles en caso de emergencia
Utiliza software de seguridad. Instala y mantén actualizado un software antivirus y antimalware confiable. En esa dirección, es clave activar la protección frente a ransomware en todos los endpoints. Hablamos de herramientas que protejan servidores y ordenadores de ransomware y otras clase de malware, al tiempo que combate el uso de exploits. Así mismo, resulta de gran utilidad que sea compatible con otras soluciones de seguridad ya instaladas
Implementa soluciones anti-APT y EDR que posibilitan detectar e investigar incidentes en fase temprana.
Realiza copias de seguridad frecuentes de tus datos relevantes en un dispositivo externo o en la nube. Asegúrate de que los respaldos estén desconectados de la red cuando no se estén utilizando.
Forma a los empleados en ciberseguridad: proporciona capacitación a tus profesionales sobre cómo reconocer correos electrónicos y enlaces sospechosos, y estimula una cultura de seguridad cibernética. En esa línea, resulta altamente estratégico proveer al equipo del SOC (El Centro de Operaciones de Seguridad) de una capacitación profesional constante.
Restringe privilegios: limita los permisos de acceso a los sistemas y datos solo a las personas que los necesitan para realizar su trabajo.
Utiliza firewalls y filtros de contenido para bloquear el acceso no autorizado a sitios web maliciosos.
Incorpora medidas de autenticación consistentes. En ese sentido, se recomienda una autenticación de dos factores (2FA) siempre que sea posible para agregar una capa adicional de seguridad.
Monitorea la red: supervisa permanentemente la actividad de la red en busca de comportamientos sospechosos o anómalos.
Gestiona regularmente los parches: establece un proceso para aplicar parches de seguridad y actualizaciones de manera oportuna.
Segmenta la red: delimita tu red en segmentos para limitar la propagación de malware en caso de una infracción.
Planifica ante un ataque: desarrolla un plan de respuesta a incidentes para actuar de manera eficiente en caso de un ataque de ransomware.
Evalúa proveedores y socios: asegúrate de que tus proveedores y socios cumplan con las mejores prácticas de seguridad cibernética.
Por último (consejo clave de una estrategia de ciberseguridad que conjuga lo particular con lo general): elude el pago de un rescate a los cibercriminales. Pagar sólo estimula la actividad criminal de los ciberdelincuentes y no asegura la recuperación de tus datos.
