Después de que el pasado 23 de julio Garmin sufriera un ciberataque con un ransomware WastedLocker que paralizó sus servicios en línea durante cinco días, más del 80% de los ataques de WastedLocker detectados en las últimas semanas por este grupo de ciberdelincuentes se han realizado en España, según datos de la compañía de ciberseguridad ESET.
La compañía de ciberseguridad Check Point ha analizado la actividad de esta amenaza, que se atribuye al grupo Evil Corp, revisando dónde se han producido las últimas detecciones del 'ransomware' por parte de sus herramientas de protección.
Según apuntan desde ESET, la elección de nuestro país comoobjetivo principal de este tipo de ataques se puede deber a varios factores,entre los que figuran:
- Una apuesta generalizada por el teletrabajo a causa de la pandemia provocada por la COVID-19, sin que fuera unida a la formación ni a la adopción de medidas de seguridad adecuadas.
- La popularización de las conexiones a través de Protocolo de Escritorio Remoto (RDP) sin monitorizar correctamente los accesos que se hacen a la red interna de las empresas.
- Un aumento notable en los casos de robo de credenciales que, posteriormente, pueden utilizarse para acceder a la red corporativa, robar información y cifrarla con un ransomware como WastedLocker.
Medidas para evitar sufrir un ataque con rasomware
Asimismo, ESET recalca que la infección por rasomware es, en muchas ocasiones, la consecuencia final de una infiltración en la red corporativa realizada por delincuentes que saben muy bien lo que hacen. Por ello, la compañía recomienda adoptar estas medidas para evitar ser víctima de esta amenaza.
- Gestiónefectiva de credenciales y accesos remotos: las conexiones remotas a la redcorporativa están en máximos debido a la imposición del teletrabajo por fuerzamayor. Desgraciadamente, esto implica que para los delincuentes sea más fácil encontrarredes internas fácilmente accesibles, ya sea a través de ataques de fuerzabruta o robando las credenciales de acceso a alguno de los empleados medianteataques de phishing o herramientas de control remoto, entre otros.
- Gestióneficiente de los permisos de los usuarios: en demasiadas ocasiones losusuarios tienen más permisos de los estrictamente necesarios para ejercer sutrabajo y eso facilita la labor de los atacantes, ya que pueden instalar todotipo de aplicaciones sin tener que solicitar permisos adicionales. Lo idealsería que esto estuviera limitado y solo los usuarios con los permisosadecuados y justificados pudieran instalar aplicaciones previamente aprobadas.
- Instalaciónde soluciones endpoint con capacidad de detectar la actividad sospechosarelacionada con el ransomware (cifrado masivo de archivos, creación de notas derescate…), complementadas por un sistema EDR que permita detectar actividadessospechosas, incluso aquellas que se ejecuten con herramientas legítimas delsistema.
- Instalacióny configuración de una solución de backup que permita restaurar rápidamentela información en los equipos afectados. Asimismo, es muy conveniente cifrartoda la información que sea catalogada como confidencial para evitar que losdelincuentes la usen como chantaje en caso de que consigan robarla.