Cuáles son los grupos de ransomware más activos en Latinoamérica y cómo protegerse de ellos
Eset analizó el comportamiento de estos ciberdelincuentes y compartió recomendaciones para empresas y entidades gubernamentales
La empresa ESET, enfocada en detección proactiva de amenazas, advierte que la actividad de ransomware en América Latina ha experimentado un aumento alarmante en 2023, con ataques dirigidos principalmente a sectores corporativos y gubernamentales.
Según el ESET Security Report, el 96% de las organizaciones expresan su preocupación por el ransomware, siendo el 21% víctima de ataques en los últimos dos años. Aunque el 77% logró recuperar datos mediante respaldos, el 4% admitió haber pagado por el rescate.
«Uno de los principales desafíos a enfrentar en el futuro cercano será el aumento de las campañas de spearphishing», destaca David González Cuautle, investigador de seguridad informática de ESET Latinoamérica.
La ciberseguridad en la región depende del tipo de organización, pero la preocupación universal es el robo de información, con un 66% centrado en el acceso indebido a sistemas. El aumento de ataques mediante spearphishing y ransomware es evidente. ESET proporciona una lista con cinco principales grupos de ciberdelincuentes:
SiegedSec: asedio sin distinción
Este grupo es reconocido por su lema de asediar la seguridad de la víctima y su modus operandi es extorsionar a la víctima a tal grado de solo dejarle la salida de pagar por el rescate de su información o, en el peor de los casos, venderla en foros de la Dark web o Telegram.
Desde el inicio de sus actividades en febrero de 2022, vinculadas con el grupo de ransomware GhostSec, ha demostrado que no tiene preferencia en sus blancos, pues ha logrado afectar a sectores en todo el mundo tales como atención sanitaria, tecnologías de la información, seguros, contabilidad, derechos y finanzas.
En lo que respecta a su actividad en América Latina, SiegedSec logró obtener documentos de intranet, bases de datos, información de usuarios y detalles de las organizaciones vulneradas en varios sectores en Colombia, con entidades de gobierno y salud entre los más afectados.
Nokoyawa: sofisticación rusa en América Latina
De origen ruso, e iniciada su actividad en febrero del año pasado, se caracteriza porque es el único grupo en utilizar un cifrado de amplia sofisticación (criptografía de curva elíptica, o ECC, por sus siglas en inglés), añadiendo su propia extensión de archivo homónima (NOKOYAWA). Este grupo logró conseguir una enorme cantidad de información, un laboratorio de en el sector de salud de Brasil en lo que va del tercer cuatrimestre del 2023.
ALPHV (Blackcat): especificidad en el ataque
También conocido como Blackcat. La forma en que opera este grupo desde su aparición en noviembre del 2021, es a través del Ransomware-as-a-Service debido a que sus ataques no se hacen aleatoriamente o por campañas de tipo spam, sino que, sus objetivos son determinados mediante los asociados con los que cuenta, es decir, que reúnen esfuerzos para realizar ataques a objetivos ya perfilados. Esto hace que su modus operandi sea específico para cada caso de uso, así como las técnicas empleadas durante sus ataques.
A la mitad del 2023, ALPHV publicó información confidencial de la exfiltración de datos de una de las empresas más grandes de México a través de su canal de Telegram, de igual manera el sector público no se vio exento de este ataque.
Stormous y su alianza con GhostSec: cambio de objetivos
El grupo Stormous tuvo su aparición a mitad del 2021. El grupo, de origen árabe, en un principio publicitaba a través de sus canales en Telegram y en sus foros de la Dark web, ataques hacia Estados Unidos. Debido al conflicto Rusia-Ucrania, sus objetivos se modificaron y a mediados de julio de este año declararon oficialmente asociarse con el grupo de hacktivistas GhostSec para atacar no solo a Estados Unidos, sino también a países de América Latina y entre ellos al gobierno de Cuba.
Vice Society: ataques multisectoriales
Fue uno de los grupos con mayor actividad a finales del 2022 y principios del 2023. La mayoría de las incidencias fueron hacia industrias de la educación y atención médica pero también se tiene evidencia de que otro sector al que está apuntando este grupo de ransomware es al manufacturero en países como Brasil, Argentina, Suiza e Israel. Cabe mencionar que han identificado que tienen su propio generador de ransomware personalizado optando por métodos de cifrado más sólidos, lo que significa que el grupo se está preparando para su propia operación de ransomware como servicio RaaS.
Recomendaciones para empresas ante las amenazas de ransomware
ESET Latinoamérica comparte estrategias para la protección:
Copias de seguridad periódicas: esto permitirá que los datos, en caso de verse afectados por algún ransomware, puedan ser restaurados. El 88% de organizaciones en América Latina implementan esta recomendación.
Actualizaciones y parches: al tener todos los sistemas, aplicaciones y dispositivos actualizados, la brecha para que los ciberdelincuentes puedan explotar vulnerabilidades de software o protocolos obsoletos se reduce considerablemente. El 45% realiza actualizaciones de seguridad más de dos veces al año.
Educación y concientización: la capacitación constante a colaboradores y colaboradoras en todos los niveles sobre las mejores prácticas de seguridad y las tendencias de vectores de ataque en la región, son fundamentales para que un ciberdelincuente no lleve a cabo su cometido. Solo 28% cuenta con un programa de capacitación y concientización.
Principio del mínimo privilegio: limitar privilegios reduce la propagación del ransomware entre sistemas.
Seguridad en la red: los firewalls, la segmentación de red y las reglas de acceso reducen la expansión de malware.
Plan de respuestas a incidentes y continuidad del negocio: es importante saber cómo responder ante cualquier incidente o contingencia que se pueda dar en la organización, haciendo que el impacto al negocio sea lo mínimo posible y siga funcionando. El 42% tiene un plan de respuesta a incidentes, 38% no cuenta con un plan de continuidad del negocio.
Soluciones de seguridad avanzadas: implementar soluciones como EDR y antimalware garantiza la protección de la información.
