El ransomware se ha dirigido al sector privado durante años.
La conciencia general sobre la necesidad de medidas de seguridad está creciendo, y los ciberdelincuentes están aumentando la precisión de sus ataques para localizar víctimas con violaciones de seguridad en sus sistemas de defensa. Mirando hacia atrás en los últimos tres años, la proporción de usuarios seleccionados con ransomware en el número total de detecciones de malware ha aumentado de 2.8% a 3.5% . Si bien esto puede parecer una cantidad modesta, el ransomware es capaz de causar daños extensos en los sistemas y redes afectados, lo que significa que esta amenaza nunca debe pasarse por alto. La proporción de objetivos de ransomware entre todos los usuarios atacados con malware ha sido fluctuante, pero parece estar disminuyendo, y la cifra para el primer semestre de 2019 muestra 2.94% en comparación con 3.53% hace dos años.
Porcentaje de usuarios atacados con ransomware de todos los usuarios atacados con malware
El número total de usuarios atacados anualmente ha cambiado. Los expertos de Kaspersky generalmente observan desde alrededor de 900,000 hasta casi 1.2 millones de usuarios objetivo de ransomware cada seis meses.
Número de usuarios atacados con ransomware, H1 2017-H1 2019
A pesar de que hay muchas muestras de criptomonedas extremadamente sofisticadas, el mecanismo detrás de cómo operan es minuciosamente simple: convierten los archivos en las computadoras de las víctimas en datos cifrados y exigen un rescate por las claves de descifrado. Los actores de amenazas crean estas claves para descifrar los archivos y transformarlos nuevamente en los datos originales. Sin una clave, es imposible operar el dispositivo infectado. El malware puede ser distribuido por los creadores de la amenaza, vendido a otros actores o a las redes asociadas de los creadores: distribuidores ‘tercerizados’ que comparten las ganancias de los ataques de ransomware exitosos con los poseedores de la tecnología.
2019 ha visto esta plaga desplazándose activamente hacia un nuevo objetivo: los municipios. Podría decirse que el incidente más destacado y ampliamente discutido fue el de Baltimore, que sufrió una campaña de ransomware a gran escala que eliminó varios servicios de la ciudad y requirió decenas de millones de dólares para restaurar las redes de TI de la ciudad.
Según las estadísticas disponibles públicamente y los anuncios monitoreados por expertos de Kaspersky, en 2019 se han visto al menos 174 organizaciones municipales atacadas por ransomware. Este es un aumento de aproximadamente el 60% del número de ciudades y pueblos que informaron haber sido víctimas de ataques un año antes. Si bien no todos han confirmado la cantidad de fondos extorsionados y si se pagó un rescate o no, la demanda promedio de rescate varió de $ 5,000 a $ 5,000,000, y en promedio fue de alrededor de $ 1,032,460. Los números, sin embargo, variaron enormemente, ya que los fondos extorsionados de los distritos escolares de pequeñas ciudades, por ejemplo, a veces eran 20 veces más pequeños que los extorsionados de los ayuntamientos de los grandes municipios.
Sin embargo, el daño real causado por los ataques, según estimaciones de analistas independientes , a menudo difiere de la suma que solicitan los delincuentes. En primer lugar, algunas instituciones municipales y vendedores están asegurados contra incidentes cibernéticos, lo que compensa los costos de una forma u otra. En segundo lugar, los ataques a menudo pueden neutralizarse mediante una respuesta oportuna a los incidentes. Por último, pero no menos importante, no todas las ciudades pagan el rescate: en el caso de cifrado de Baltimore , donde los funcionarios se negaron a pagar el rescate, la ciudad terminógastando $ 18 millones para restaurar su infraestructura de TI. Si bien esta suma puede parecer mucho más que los $ 114,000 iniciales solicitados por los delincuentes, pagar el rescate es una solución a corto plazo que alienta a los actores de amenazas a continuar con sus prácticas maliciosas. Debe tener en cuenta que una vez que la infraestructura de TI de una ciudad se ha visto comprometida, se requiere una auditoría y una investigación exhaustiva de incidentes para evitar que ocurran incidentes similares, más el costo adicional de implementar soluciones de seguridad sólidas.
Los escenarios de ataque varían. Por ejemplo, un ataque puede ser el resultado de un acceso remoto sin protección. Sin embargo, en general, hay dos puntos de entrada a través de los cuales se puede atacar a un municipio: la ingeniería social y una brecha en el software no actualizado . Los expertos de Kaspersky observaron trimestralmente una ilustración vívida del último problema: el líder absoluto de casi todos los rankings de ransomware bloqueados con mayor frecuencia en los dispositivos de los usuarios es WannaCry. Aunque Microsoft lanzó un parche para su sistema operativo Windows que cerró la vulnerabilidad relevante meses antes de que comenzaran los ataques, WannaCry aún afectó a cientos de miles de dispositivos en todo el mundo. Y lo que es más sorprendente es el hecho de que todavía vive y prospera. Las últimas estadísticasreunido por Kaspersky en el tercer trimestre de 2019 demostró que dos años y medio después de que terminó la epidemia de WannaCry, WannaCry atacó a una quinta parte de todos los usuarios atacados por criptores. Además, las estadísticas de 2017 a mediados de 2019 muestran que WannaCry es constantemente una de las muestras de malware más populares, representando el 27% de todos los usuarios atacados por ransomware en ese período de tiempo.
Un escenario alternativo involucra a delincuentes que explotan factores humanos: este es posiblemente el vector de ataque más subestimado, ya que la capacitación de los empleados en higiene de seguridad no es tan universal como debería ser. Muchas industrias pierden una enorme cantidad de dinero debido a errores de los empleados (en algunas industrias este es el caso de la mitad de todos los incidentes), los mensajes de phishing y spam que contienen instaladores de malware peligroso todavía circulan por la web y llegan a las víctimas. A veces, esas víctimas pueden estar administrando las cuentas y las finanzas de la compañía y ni siquiera sospechar que abrir un correo electrónico de estafador y descargar lo que parece ser un archivo PDF en sus computadoras puede poner en peligro una red.
Entre los muchos tipos de organizaciones municipales atacadas a lo largo de 2019, algunas atrajeron más ataques que otras.
Las entidades más seleccionadas fueron, sin duda , organizaciones educativas , como los distritos escolares, que representaron aproximadamente el 61% de todos los ataques: en 2019 se realizaron operaciones contra más de 105 distritos escolares, con la friolera de 530 escuelas seleccionadas. Este sector se ha visto muy afectado, pero demostró una resistencia: aunque algunas universidades tuvieron que cancelar las clases , muchas instituciones educativas adoptaron una posición de estudios continuos a pesar de la falta de soporte técnico, alegando que las computadoras se han convertido recientemente en parte del proceso educativo, y ese personal es perfectamente capaz de enseñar a los alumnos sin ellos.
Ayuntamientos y centros municipales, mientras tanto, representaron alrededor del 29% de los casos. Los actores de amenazas a menudo apuntan al corazón de los procesos que, si se detienen, darán lugar a una interrupción extremadamente problemática de los procesos vitales para la gran mayoría de los ciudadanos y las organizaciones locales. Desafortunadamente, tales instituciones todavía están equipadas con infraestructura débil y soluciones de seguridad poco confiables, ya que el flujo de trabajo (especialmente en pueblos pequeños y tranquilos o aldeas sin infraestructura avanzada) no requiere altas capacidades informáticas. Como consecuencia, los locales a menudo no se molestan en actualizar las computadoras viejas porque parece que todavía funcionan bien. Esto podría estar relacionado con un error común, por el cual las actualizaciones de seguridad están asociadas con cambios de diseño o desarrollos técnicos introducidos en el software,
Otro objetivo popular fueron los hospitales , que representan el 7% de todos los ataques. Si bien algunos piratas informáticos y grupos cibercriminales afirman tener un código de conducta, en la mayoría de los casos los atacantes están motivados únicamente por la perspectiva de obtener ganancias financieras y recurren a servicios vitales que no pueden tolerar largos períodos de interrupción, como los centros médicos.
Además, alrededor del 2% de todas las instituciones sometidas a un ataque eran servicios públicos municipales. or their subcontractors. The reason for this might be that such service providers are often used as an entry point to a whole network of devices and organizations, as they are responsible for communications in terms of billing for multiple locations and households. In the scenario where threat actors successfully attack the service provider, they might also compromise every locality that particular vendor or institution services. In addition, the disruption of utility services may result in disruption to vital regular operations, such as providing online payment services for residents of the town or city to pay their monthly bills – this adds to the pressure the victims’ experience and pushes them towards a short-term, yet seemingly effective solution – paying the ransom.
Echemos un vistazo más de cerca al malware que se ha utilizado activamente en los ataques a los municipios.
Los sitiadores
Ryuk
Si bien no todas las organizaciones divulgan detalles técnicos sobre el ransomware que les afecta, el ransomware Ryuk (nombre de detección: Trojan-Ransom.Win32.Hermez) ha sido citado como motivo de incidentes en municipios con mucha frecuencia. Se sabe que es conocido por atacar a grandes organizaciones y redes gubernamentales y municipales. Este malware apareció por primera vez en la segunda mitad de 2018 y ha estado mutando y propagándose activamente a lo largo de 2019.
Geografía
TOP 10 países
Países | % * | |
1 | Alemania | 8,60 |
2 | China | 7,99 |
3 | Argelia | 6.76 |
4 4 | India | 5.84 |
5 5 | Federación Rusa | 5.22 |
6 6 | Corrí | 5.07 |
7 7 | Estados Unidos | 4.15 |
8 | Kazajstán | 3.38 |
9 9 | Emiratos Árabes Unidos | 3.23 |
10 | Brasil | 3,07 |
* Porcentaje de usuarios atacados en cada país por Ryuk, en relación con todos los usuarios atacados en todo el mundo por este malware
Ryuk se ha visto en todo el mundo, aunque algunos países se han visto más afectados que otros. Según las estadísticas de Kaspersky Security Network, en el 8,6% de los casos intentó atacar objetivos basados en Alemania, seguidos de China (8%) y Argelia (6,8%).
Distribución
Los actores de la amenaza detrás de Ryuk emplean un esquema de múltiples etapas para entregar este ransomware a sus víctimas.
La etapa inicial implica infectar una gran cantidad de máquinas con el bot Emotet (Nombre de detección: Trojan-Banker.Win32.Emotet). Por lo general, esto se logra enviando correos electrónicos no deseados que contienen un documento con una macro maliciosa que descargará el bot si la víctima permite la ejecución de macros.
Mensaje de spam con un documento malicioso adjunto
El documento malicioso
En la segunda etapa de la infección, Emotet recibirá un comando de sus servidores para descargar e instalar otra pieza de malware – Trickbot (veredicto: Trojan.Win32.Trickster) – en el sistema comprometido. Esta pieza de malware permitirá que los actores de amenazas realicen reconocimientos en la red comprometida.
Si los delincuentes descubren que se han infiltrado en una víctima de alto perfil, por ejemplo, una gran red municipal o una corporación, probablemente continuarán hasta la tercera etapa de la infección y desplegarán el ransomware Ryuk en numerosos nodos de la red afectada.
Breve descripción técnica.
Ryuk ha estado evolucionando desde su creación y existe una cierta variación entre las numerosas muestras de ITW existentes. Algunos de ellos están construidos como binarios de 32 bits, otros son de 64 bits; algunas variantes contienen una lista codificada de procesos que se destinarán a inyecciones de código, otras variantes incluyen varios procesos en la lista blanca e intentarán inyectar todos los demás; El esquema de cifrado también a veces difiere de una muestra a otra.
Describiremos una de las modificaciones recientes descubiertas a fines de octubre de 2019 (MD5: fe8f2f9ad6789c6dba3d1aa2d3a8e404).
Cifrado de archivos
Esta modificación de Ryuk utiliza un esquema de cifrado híbrido que emplea el algoritmo AES para cifrar el contenido de los archivos de la víctima y el algoritmo RSA para cifrar las claves AES. Ryuk utiliza la implementación estándar de rutinas criptográficas proporcionadas por Microsoft CryptoAPI.
La muestra de Troya contiene la clave RSA incorporada de 2048 bits del actor de amenaza. La contraparte privada no está expuesta y los delincuentes pueden usarla para descifrarla si se paga el rescate. Para cada archivo víctima, Ryuk generará una nueva clave AES única de 256 bits que se utilizará para cifrar el contenido del archivo. RSA cifra las claves AES y se guardan al final del archivo cifrado.
Ryuk cifra las unidades locales y los recursos compartidos de red. Los archivos cifrados obtendrán una extensión adicional (.RYK), y una nota de rescate que contiene el correo electrónico de los delincuentes se guardará cerca.
Nota de rescate
Funcionalidad adicional
Para causar más daño en la red, esta variante de Ryuk utiliza un truco que no hemos observado en otras familias de ransomware antes; el troyano intenta activar otras máquinas que están en estado de suspensión pero que se han configurado para usar Wake-on-LAN.
Ryuk hace esto para maximizar la superficie de ataque: los archivos ubicados en recursos compartidos de red alojados en PC inactivas no están disponibles para acceder, pero si el troyano logra despertarlos, también podrá cifrar esos archivos. Para lograr esto, Ryuk recupera las direcciones MAC de las máquinas cercanas del caché ARP local del sistema infectado y envía paquetes UDP de difusión que comienzan con el valor mágico {0xff, 0xff, 0xff, 0xff, 0xff, 0xff} al puerto 7 que despertar las computadoras de destino.
Fragmento del procedimiento que implementa la transmisión de paquetes Wake-on-Lan
Otras características del algoritmo Ryuk que son más convencionales para las familias de ransomware incluyen: inyección de código en procesos legítimos para evitar la detección; intentar finalizar procesos relacionados con aplicaciones comerciales para que los archivos utilizados por estos programas estén disponibles para su modificación; intentando detener varios servicios relacionados tanto con aplicaciones comerciales como con soluciones de seguridad.
Purga
Esta familia de ransomware apareció a mediados de 2016 y todavía se está desarrollando y distribuyendo activamente en todo el mundo. Se ha registrado apuntando a municipios. Una de las características de este malware es que ataca a usuarios habituales, así como a grandes corporaciones e incluso organizaciones gubernamentales. Nuestros productos detectan este malware como Trojan-Ransom.Win32.Purga. La familia troyana también se conoce como ransomware Globe, Amnesia o Scarab.
Geografía
TOP 10 países
Países | % * | |
1 | Federación Rusa | 85,59 |
2 | Bielorrusia | 1,37 |
3 | pavo | 0,85 |
4 4 | India | 0,80 |
5 5 | Kazajstán | 0,74 |
6 6 | Alemania | 0,62 |
7 7 | Ucrania | 0,54 |
8 | China | 0,46 |
9 9 | Argelia | 0,40 |
10 | Emiratos Árabes Unidos | 0,40 |
* Porcentaje de usuarios atacados en cada país por Purga, en relación con todos los usuarios atacados en todo el mundo por este malware
Distribución
A lo largo de la existencia de esta familia, los delincuentes detrás de ella han utilizado varios tipos de vectores de infección. Los principales vectores de ataque son las campañas de spam y los ataques de fuerza bruta RDP.
Según nuestra información, este es actualmente el escenario de ataque más común:
- Los delincuentes escanean la red para encontrar un puerto RDP abierto
- Intentan obtener credenciales de fuerza bruta para iniciar sesión en la máquina objetivo
- Después de un inicio de sesión exitoso, los delincuentes intentan elevar los privilegios utilizando varios exploits
- Los delincuentes lanzan el ransomware
Breve descripción técnica El
ransomware Purga es un ejemplo de ransomware desarrollado muy intensamente. En los últimos años, los delincuentes han cambiado varios algoritmos de cifrado, funciones de generación de claves, esquemas criptográficos, etc.
Aquí describiremos brevemente la última modificación.
Esquema de nombres:
cada modificación de Purga utiliza una extensión diferente para cada archivo y una dirección de correo electrónico diferente para contactar. A pesar de usar varias extensiones para los archivos cifrados, el troyano usa solo dos esquemas de nombres, que dependen de su configuración:
- [nombre del archivo original]. [extensión original]. [nueva extensión]
- [nombre de archivo cifrado]. [nueva extensión]
Cifrado de archivos
Durante el cifrado, el troyano utiliza un esquema estándar que combina algoritmos simétricos y asimétricos. Cada archivo se cifra utilizando una clave simétrica generada aleatoriamente, luego esta clave simétrica se cifra con una clave asimétrica y el resultado se almacena en el archivo, en una estructura específicamente construida.
Detener
El notorio ransomware Stop (también conocido como Djvu STOP) se encontró por primera vez a finales de 2018. Nuestro nombre de detección para esta familia es Trojan-Ransom.Win32.Stop y, según nuestras estadísticas, solo en 2019 las diversas modificaciones de Stop El ransomware atacó a más de 20,000 víctimas en todo el mundo. Como era de esperar, según nuestro informe KSN para el tercer trimestre de 2019, Stop ransomware terminó séptimo entre los ransomware más comunes.
Geografía
TOP 10 países
Países | % * | |
1 | Vietnam | 10,28 |
2 | India | 10.10 |
3 | Brasil | 7,90 |
4 4 | Argelia | 5.31 |
5 5 | Egipto | 4.89 |
6 6 | Indonesia | 4.59 |
7 7 | pavo | 4.30 |
8 | Marruecos | 2,42 |
9 9 | Bangladesh | 2,25 |
10 | Mexico | 2,09 |
* Porcentaje de usuarios únicos atacados en cada país por Stop, en relación con todos los usuarios atacados en todo el mundo por este malware
Distribución
Los autores optaron por distribuir su malware principalmente a través de instaladores de software. Cuando los usuarios intentan descargar software específico de un sitio que no es de confianza o intentan utilizar grietas de software, en lugar del resultado deseado, sus máquinas se infectan con el ransomware.
Breve descripción técnica
Para el cifrado de archivos, Stop ransomware utiliza una clave Salsa20 generada aleatoriamente, que luego se cifra mediante una clave RSA pública.
Fragmento de código de la rutina de cifrado de archivos.
Dependiendo de la disponibilidad del servidor C&C, Stop ransomware usa una clave RSA en línea o fuera de línea. La clave RSA pública sin conexión se puede encontrar en la configuración de cada muestra maliciosa.
Fragmento volcado del malware
Conclusión y Recomendaciones
2019 ha sido un año de ataques de ransomware en los municipios, y es probable que esta tendencia continúe en 2020. Hay varias razones por las que aumenta el número de ataques a los municipios.
En primer lugar, el presupuesto de seguridad cibernética de los municipios a menudo se centra más en el seguro y la respuesta de emergencia que en medidas proactivas de defensa. Esto da como resultado casos en los que la única solución posible es pagar a los delincuentes y facilitar sus actividades.
En segundo lugar, los servicios municipales a menudo tienen numerosas redes que incluyen múltiples organizaciones, por lo que golpearlos causa interrupciones en muchos niveles al mismo tiempo, lo que detiene los procesos en distritos enteros.
Además, los datos almacenados en las redes municipales a menudo son vitales para el funcionamiento de los procesos cotidianos, ya que se refieren directamente al bienestar de los ciudadanos y las organizaciones locales. Al atacar tales objetivos, los ciberdelincuentes están llegando a un punto sensible.
Sin embargo, las medidas preventivas simples pueden ayudar a combatir la epidemia:
- Es esencial instalar todas las actualizaciones de seguridad tan pronto como aparezcan. La mayoría de los ataques cibernéticos explotan vulnerabilidades que ya se han informado y abordado, por lo que la instalación de las últimas actualizaciones de seguridad reduce las posibilidades de un ataque.
- Proteja el acceso remoto a las redes corporativas mediante VPN y use contraseñas seguras para las cuentas de dominio.
- Actualice siempre su sistema operativo para eliminar vulnerabilidades recientes y use una solución de seguridad sólida con bases de datos actualizadas.
- Siempre tenga copias de respaldo frescas de sus archivos para que pueda reemplazarlos en caso de que se pierdan (por ejemplo, debido a malware o un dispositivo dañado) y almacenarlos no solo en un medio físico sino también en la nube para una mayor confiabilidad.
- Recuerde que el ransomware es un delito penal. No deberías pagar un rescate. Si se convierte en una víctima, repórtelo a su agencia local de cumplimiento de la ley. Intente encontrar un descifrador en Internet primero; algunos de ellos están disponibles de forma gratuita aquí: https://noransom.kaspersky.com
- Es necesario educar a los empleados sobre la higiene de la ciberseguridad para evitar que ocurran ataques en primer lugar. Los juegos de simulación de protección interactiva de Kaspersky ofrecen un escenario especial que se centra en las amenazas relevantes para la administración pública local.
- Utilice una solución de seguridad para organizaciones para proteger los datos comerciales del ransomware. Kaspersky Endpoint Security for Business tiene capacidades de detección de comportamiento, control de anomalías y prevención de exploits que detectan amenazas conocidas y desconocidas y evitan actividades maliciosas. Una solución de seguridad de terceros preferida también se puede mejorar con la herramienta gratuita Kaspersky Anti-Ransomware .
Post original: https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/