Los ocho grupos identificados incluyen a los autores de PetrWrap --que han atacado a organizaciones financieras de todo el mundo--, el grupo Mamba y seis colectivos más que también se dirigen a usuarios corporativos. Cabe señalar que estos seis grupos han estado involucrados en ataques dirigidos, principalmente a usuarios privados, y usaron modelos de programas de afiliados. Ahora, han reorientado sus esfuerzos hacia las redes corporativas.
Según los analistas de Kaspersky Lab, el motivo de esta tendencia es claro: "los ciberdelincuentes consideran que los ataques de ransomware dirigidos contra empresas son potencialmente más rentables que los ataques masivos a usuarios privados". "Un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio durante horas o incluso días, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate", detallan.
En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan la organización con malware a través de servidores vulnerables o lanzan correos electrónicos de phishing. Posteriormente, establecen persistencia en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, solicitando posteriormente un rescate a cambio del descifrado.
DIFERENTES PROCEDIMIENTOS
Pese a sus similitudes, algunos grupos tienen sus propias características únicas. Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los ciberatacantes ganan un punto de apoyo en la red, instalan el cifrador usando un recurso legal para el control remoto de Windows. Este enfoque hace que las acciones sean menos sospechosas para los responsables de ciberseguridad de la empresa seleccionada.
Otro ejemplo único de herramientas utilizadas en ataques de ransomware dirigidos viene de PetrWrap. Este grupo se dirige principalmente a grandes empresas que cuentan con un gran número de nodos. Los cibercriminales seleccionan cuidadosamente los blancos para cada ataque que puede durar bastante tiempo: PetrWrap ha conseguido "persistir" en una red hasta 6 meses.
"Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando. Hay muchos más objetivos potenciales de ransomware y las consecuencias de estos ataques son cada vez más desastrosas", afirma Anton Ivanov, analista de seguridad senior, Anti-Ransom, Kaspersky Lab.
CONSEJOS PARA PROTEGERSE DE LOS ATAQUES
Esta compañía recomienda a las empresas realizar una copia de seguridad de los datos para que puedan restaurarse los archivos originales después de un incidente de pérdida de datos y utilizar una solución de seguridad con tecnologías de detección basadas en el comportamiento. De esta manera, podrán estar mejor protegido ante los ciberataques.
Asimismo, anima a los usuarios a visitar el sitio web 'No More Ransom', una iniciativa conjunta con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los criminales, y recomienda hacer una auditoría del software instalado, no sólo en los endpoints, sino también en todos los nodos y servidores de la red, además de mantenerlo actualizado.
Por otra parte, aconseja realizar una evaluación de seguridad de la red de control para identificar y eliminar las lagunas de seguridad y revisa las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
De la misma forma, recomienda solicitar inteligencia externa y capacitar a los empleados, prestando especial atención al personal de operaciones y de ingeniería para que sean conscientes de las recientes amenazas y ataques.
Por último, insta a proporcionar "protección dentro y fuera del perímetro". "Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y la respuesta con el fin de bloquear un ataque antes de llegar a objetos de importancia crítica", concluye.