El Ransomware es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y exige el pago de un rescate para recuperar el acceso. Las primeras variantes de ransomware se desarrollaron a finales de la década de 1980, y el pago debía enviarse por correo postal.
Entre algunos ataques notorios se puede destacar el de troyano del SIDA, que se envió por correo postal en un disquete a los participantes en una conferencia de la OMS sobre el VIH. Llegó a unas 20.000 personas e instituciones médicas. En el sistema infectado, se añadía al autoexec.bat y esperaba 90 reinicios antes de iniciar una rutina de cifrado de todos los archivos de la unidad C:, ocultaba los directorios y mostraba una nota de rescate. La nota pedía a la víctima que enviara por correo al menos 189 dólares a un apartado de correos en Panamá. No muchas víctimas lo hicieron, y el cifrado simétrico fue relativamente fácil de descifrar.
Hoy en día, los autores de ransomware ordenan que el pago se envíe mediante criptomoneda o tarjeta de crédito, y las víctimas son particulares, empresas y organizaciones de todo tipo. Algunos autores de ransomware venden el servicio a otros ciberdelincuentes, lo que se conoce como Ransomware-as-a-Service o RaaS.
Los delincuentes aprendieron rápidamente que es beneficioso que la víctima pueda seguir utilizando su dispositivo hasta el punto de poder leer las instrucciones y pagar el rescate. Por eso, el ransomware moderno utiliza una lista de exclusión para evitar cifrar archivos esenciales para el funcionamiento del sistema.
El Ransomware en la actualidad
El 2023 ha sido otro año récord para el ransomware. Según información recopilada por la entidad BlackFog, noviembre ha sido uno de los meses que mayor número de ataques a reportado (ver Fig.1), considerando que no todos los ataques de ransomware se hacen públicos.
Una cifra preocupante es el número de ataques de ransomware no divulgados de 2023, siendo 1.815 en los primeros seis meses de este año. Teniendo en cuenta estas cifras, podemos hacernos una idea más realista del panorama real del ransomware. Hoy en día, la mayoría de los ataques de ransomware se producen contra empresas y otras organizaciones, incluidas pequeñas y medianas organizaciones que carecen de los recursos necesarios para protegerse completamente de este tipo de ataques.
El ransomware en la educación en 2023 aumento un 84% en un periodo de 6 meses. Entre junio de 2022 y mayo de 2023, se produjeron 190 ataques conocidos de ransomware contra instituciones educativas, y muchos más que quedaron sin denunciar ni registrar.
Entre las principales bandas que atacaron el sector educativo entre junio de 2022 y mayo de 2023 se encuentran Vice Society, con 43 ataques, LockBit, con 33, BianLian (18), Royal (16) y AvosLocker (15). Esto puede ser observado en la Fig.2.
UBA sufre un ciberataque de ransomware
Un caso especial dentro del ámbito educativo fue la Universidad de Buenos Aires, entidad que sufrió un ciberataque de ransomware, donde docentes y alumnos no pudieron acceder a los sistemas como Guaraní y SIUGA.
El día 14 de diciembre del 2023 los servidores de una parte de la institución educativa fueron comprometidos y esto impidió a docentes y alumnos gestionar notas, inscribirse a cursos de verano y más, se comentó que servidores del Rectorado estaban comprometidos.
Según comentarios emitidos por personal de UBA, este ataque “inició en el datacenter de la UBA, por lo tanto, se procedió rápidamente a aislar los equipos potencialmente afectados para así poder identificar cuales fueron realmente atacados”.
En la entrevista reallizada por el clarin a “Brett Callow, analista de amenazas de Emsisoft, comento lo siguiente: ¿Por qué se ataca a las escuelas? Probablemente porque son objetivos relativamente fáciles y han demostrado estar dispuestos a pagar. Los ciberdelincuentes son previsibles. Si encuentran rentable un sector concreto, lo atacarán una y otra vez”,
El día 18 de diciembre, personal de UBA indico que las acciones correctivas para el restablecimiento a un 100% de normalidad de los servicios previos al incidente podrían demorar trabajos intensivos que se extiendan durante algunas semanas.
¿Debo pagar el rescate?
Argumentan que pagar un rescate no sólo fomenta el modelo de negocio, sino que también puede ir a parar a los bolsillos de organizaciones terroristas, blanqueadores de dinero y estados-nación delincuentes. Además, aunque pocas organizaciones admiten públicamente haber pagado rescates, los adversarios publican esa información en la red oscura, lo que hace que otros adversarios en busca de un nuevo objetivo la conozcan. Pagar el rescate no supone una recuperación más rápida o garantizada.
¿Cómo puedo protegerme contra el ransomware?
Planificación y Preparación:
- Plan de Respuesta a Incidentes: Desarrollar un plan detallado que incluya la recuperación inmediata y la prevención a largo plazo. Incluir pasos iniciales, un plan de comunicación, requisitos legales y revisiones estratégicas.
- Políticas y Capacitación: Establecer políticas claras para manejar correos electrónicos sospechosos y entrenar al equipo en seguridad y concienciación.
Protección y Resiliencia:
- Respaldo de Datos: Mantener copias de seguridad seguras y fuera de línea, probándolas regularmente para asegurar su efectividad.
- Configuración Segura y Actualizaciones: Endurecer los puntos finales con configuraciones de seguridad y mantener todos los sistemas actualizados.
Detección y Respuesta:
- Análisis del Ataque y Aislamiento: Determinar la naturaleza del ataque y aislar sistemas afectados para evitar la propagación del ransomware.
- Sistema de Detección de Intrusiones (IDS): Implementar un IDS para monitorear y alertar sobre actividades maliciosas.
Recuperación y Mejora Continua:
- Recuperación de Datos: Utilizar herramientas de recuperación de datos o de descifrado, dependiendo del tipo de ransomware.
- Revisión y Mejora del Plan de Seguridad: Realizar revisiones periódicas y mejoras del plan de seguridad basándose en incidentes y nuevas amenazas.
IOCs identificados:
Ransomware Lockbit
[File Detection]
Downloader/DOC.Macro (2023.12.29.03)
Downloader/DOC.Agent (2024.01.02.03)
Downloader/XML.Exernal (2024.01.09.00)
Malware/Win.AGEN.R417906 (2021.04.27.03)
Trojan/Win.Generic.R629778(2023.12.30.01)
Ransomware/Win.LockBit.XM170 (2023.10.05.02)
[Behavior Detection]
Ransom/MDP.Event.M4194
[IOC Info]
– DOCX
fad3e205ac4613629fbcdc428ce456e5
6424cc2085165d8b5b7b06d5aaddca9a
1b95af49b05953920dbfe8b042db9285
11a65e914f9bed73946f057f6e6aa347
60684527583c5bb17dcaad1eeb701434
61fda72ff72cdc39c4b4df0e9c099293
16814dffbcaf12ccb579d5c59e151d16
9f80a3584dd2c3c44b307f0c0a6ca1e6
– DOTM
f2a9bc0e23f6ad044cb7c835826fa8fe
4df66a06d2f1b52ab30422cbee2a4356
26b629643be8739c4646db48ff4ed4af
– EXE
7a83a738db05418c0ae6795b317a45f9
bcf0e5d50839268ab93d1210cf08fa37
ab98774aefe47c2b585ac1f9feee0f19
URL
hxxps://viviendas8[.]com/bb/qhrx1h.dotm
hxxps://learndash.825testsites[.]com/b/fgi5k8.dotm
hxxps://neverlandserver.nn[.]pe/b/ck0zcn.dotm
hxxps://learndash.825testsites[.]com/b/abc.exe
hxxps://viviendas8[.]com/bb/abc.exe
hxxps://neverlandserver.nn[.]pe/b/abc.exe
StealC Malware
109.107.181[.]33 –> Malicious Websites
REMCOS RAT
domain safer[.]ddns[.]net
79[.]134[.]225[.]27 –> Maliciosa
194[.]5[.]212[.]131 –> Not rated
107[.]175[.]229[.]139 –> Malicious Websites
141[.]98[.]102[.]187 –> Malicious Websites
181[.]41[.]200[.]209 –> Not Rated
185[.]86[.]106[.]236 –> Not Rated
85[.]209[.]176[.]46 –> Malicious Websites
http://85[.]209[.]176[.]46/jgzllCMhMzQzlIFwN152[.]bin –> Not Rated
FBot Toolkit
https[://]www[.]robertkalinkin[.]com/ –> Malicious Websites
Ivanti Connect Secure VPN
75[.]145.243.85 –> Malicious Websites
206[.]189.208.156 –> Malicious Websites
webb-institute[.]com –> Malicious Websites
Malicious PyPI Packages Found Targeting Linux with Crypto Miners
hxxps://gitlab[.]com/ajo9082734/Mine/-/raw/main/X –> Malicious Websites
hxxps://papiculo[.]net/unmiconfig[.]json –> Malicious Websites
hxxps://papiculo[.]net/unmi[.]sh –> Malicious Websites
Microsoft Malware
hxxps://scheta[.]site/api.store/Setup.msix –> Malicious Websites
hxxps://scheta[.]site/api.store/ZoomInstaller.msix –> Malicious Websites
Conclusiones
- Aumento de Amenazas y Evolución: El ransomware continúa siendo una amenaza creciente, adaptándose con nuevas técnicas y objetivos, lo que indica la necesidad de una vigilancia y protección constantes.
- Foco en el Sector Educativo: El notable aumento de ataques en educación subraya la vulnerabilidad de sectores con recursos limitados.
- Riesgos de Pago de Rescates: Pagar rescates no garantiza la recuperación de datos y puede fomentar más ataques, resaltando la importancia de medidas preventivas y de recuperación robustas.
- Necesidad de Concienciación y Preparación: Es crucial educar y preparar a organizaciones de todos los tamaños para enfrentar y mitigar estas amenazas.
Referencia:
https://www.clarin.com/tecnologia/uba-sufrio-ciberataque-docentes-alumnos-pueden-acceder-sistemas_0_hSLyvy1RGy.html