Ciberataques: qué es necesario saber para estar protegido

LinkedIn LinkedIn
Martín Sieburger, socio de Net-Guard, reseller Gold en la Argentina de WatchGuard, compañía líder en seguridad de redes, explica qué es NetWalker y cómo lo utilizan los ciberdelincuentes. Además, da recomendaciones para prevenir posibles ataques.

El ransomware es una forma de ciberdelito, considerado un método de ataque cada vez más común entre los piratas informáticos, utilizado para extorsionar a individuos, empresas y gobiernos por igual. Si bien los primeros incidentes se descubrieron en 2005, los últimos tres años han visto cómo este tipo de amenaza compromete a millones de computadoras y dispositivos móviles en todo el mundo.

Según informes del sector, el número de empresas que se transforman en blanco de ciberataques se multiplicó en el último período, lo cual se refleja en pérdidas económicas y comerciales. Ante los cambios en el escenario mundial, los hackers últimamente han refinado sus acciones delictivas, explotando una de las preocupaciones más grandes de nuestra era: la pandemia producida por el COVID-19.

El código utilizado por los ciberdelincuentes en el reciente ataque a la Dirección Nacional de Migraciones de Argentina fue el NetWalker, nombre de un software malicioso (malware) que encripta los archivos, quitándole al usuario el control de la información y los datos almacenados, bloqueando el sistema operativo. Luego, el atacante se da a conocer con una demanda de rescate “oficial”, a través de una ventana emergente, exigiendo el pago para recuperar el acceso al dispositivo o recibir la clave de descifrado de los archivos cautivos. Habitualmente, el pago se efectúa a través de una moneda virtual (bitcoins y criptomonedas), ya que estas son difíciles de rastrear.

Si bien NetWalker está dando vueltas desde septiembre de 2019, recién a partir de marzo de 2020 es tenido en cuenta como una amenaza real. Se trata de una variante de un código detectado anteriormente, llamado Mailto y, según fuentes confiables, habría cambiado su nombre a fines del año pasado. La información recabada por los especialistas en ciberseguridad hasta el momento indica que los creadores de esta variante pertenecen a un grupo de hackers rusos llamados Circus Spider.

El concepto técnico utilizado para describir este Ransomware es el de RaaS (Ransomware como servicio) de acceso cerrado, y significa que este grupo provee a los atacantes con las herramientas e infraestructura necesarias para efectuar el ciberdelito. El grupo publica en la DarkWeb a los interesados en utilizar dicho servicio, asociándose para poder distribuir el código.

¿De qué manera funciona Netwalker?

En sus comienzos, los asociados distribuían correos electrónicos que contenían un link dirigido al ransomware. De esta forma, se infectaba no solo la computadora utilizada para leer ese correo, sino toda la red Windows a la que estaba conectada, convirtiendo a cualquier usuario en una posible víctima.

Sin embargo, a partir de marzo de este año, Netwalker cambió su enfoque reclutando atacantes con mayor conocimiento y experiencia en las redes, seleccionando víctimas como organizaciones de salud, hospitales, agencias gubernamentales, y grandes organizaciones privadas.

De este modo, los ciberdelincuentes tienen acceso a toda la información importante y sensible de las víctimas, que es utilizada para chantajear exigiendo un pago por no difundir la misma en Internet, como también la devolución de la misma, dado que,  al estar encriptada, no hay posibilidad de tener acceso a dicha información.

Para conocer el punto de partida del hackeo, se debe tener en cuenta que las vulnerabilidades más utilizadas para efectuar la intrusión a las redes son varias, pero las principales son:

-El uso de contraseñas débiles en usuarios que trabajan con escritorios remotos.
-La utilización de accesos VPN no actualizados.

¿Cómo prevenir este tipo de ataque?

  • Implementar como procedimiento estándar el cambio rutinario de contraseñas de acceso a las redes. Esta acción deja sin efecto los accesos que podrían haber utilizado en su momento los ciberdelincuentes.
  • Incorporar servicios de MFA (autenticación multifactor) que permiten asegurar los accesos a la red aunque se hayan comprometido el usuario y la contraseña. Esta acción es altamente recomendable, ya que el cambio rutinario de contraseña lleva a una simplificación de la misma por parte del usuario, dado que el 65% utiliza la misma clave con un carácter o número diferente (en algunos casos hasta son correlativos), siendo fácilmente detectable por los hackers.
  • Establecer una estrategia de aplicación de actualizaciones.
  • Utilizar un firewall de borde de última generación con capacidad de análisis de contenido, que permita ejecutar -al mismo tiempo- servicios de antivirus, antimalware, detección de intrusión, control y detección de aplicaciones, análisis de la red, geolocación, prevención por medio de reputación, control de los accesos remotos y control de los servicios como DNS. 
  • Implementar como procedimiento estándar los servicios de antivirus y antimalware que aplican Inteligencia Artificial para la detección de amenazas nuevas o desconocidas, como también la posibilidad de sincronizar los servicios de seguridad para analizar dichas amenazas.
  • Tener una gran visibilidad de lo que ocurre en el firewall y la red ya que, dada la cantidad de servicios y posibles amenazas que hoy en día están siendo detectadas, sería imposible verificar su estado sin una herramienta de fácil uso y operación, como también contar con la posibilidad de generar reportes de fácil lectura.
  • Para minimizar las posibles intrusiones es muy importante mantener actualizados los sistemas operativos y software instalados, como así también tener control de los softwares instalados en los equipos conectados en la red, para prevenir ataques que ingresen por un software instalado por el usuario.
  • Por último, cuando todo lo anterior no sea realmente suficiente, tener la posibilidad de poder volver a un punto de backup seguro y confiable de forma casi inmediata, para poder continuar operando. 

Respecto al uso de plataformas de e-commerce, el FBI emitió una advertencia en el mes de junio sobre un aumento en las aplicaciones de banca maliciosa. Además de lanzar esta alerta específica también proporcionó consejos sobre cómo evitar estas vulnerabilidades, como solo descargar una aplicación de la tienda de aplicaciones oficial del teléfono o del sitio web bancario. Y nunca descargar una aplicación bancaria de un tercero.

Con respecto a los pagos a través de plataformas electrónicas, la organización recomienda hacerlo directamente en el sitio web del comercio o comunicarse directamente con la institución financiera desde un número de teléfono publicado en su sitio web oficial para verificar su autenticidad.

En conclusión, como ocurre en cualquier industria donde se mueve mucho dinero, el ransomware continuará evolucionando para maximizar las ganancias, a la vez que los hackers aprovechan cualquier oportunidad para invadir la privacidad, dejando expuestos miles de datos sensibles.

Compartir.