Durante el evento virtual Panorama de Amenazas en Ecuador y la Región: Momento de Evaluar tu estrategia de seguridad, Eduardo Chavarria Ovalle, Máster de Seguridad de TICs y miembro del Equipo Global de Respuesta a Incidentes de Kaspersky dio a conocer las principales técnicas empleadas por los atacantes en Ecuador y América Latina.
Señaló que el ransomware es una amenaza global, e identificó los vectores de acceso que siguen los atacantes para acceder de forma no autorizada a la infraestructura de las organizaciones.
Resaltó que los mecanismos más utilizados son la explotación de vulnerabilidades a los sistemas, correos maliciosos con archivos adjuntos, links para distribuir malware; o a través de formularios captan información y datos. El uso de la denominada “fuerza bruta” para adivinar los accesos y contraseñas; dispositivos extraíbles y los denominados “insider” que con o sin intención causan daños.
Mencionó varios casos mundialmente conocidos de ransonware como Darkside que comprometió la infraestructura, cifró los accesos, ocasionó la pérdida de control de los sistemas y secuestraron su información. Indicó que los secuestradores de la información solicitan pagos para entregar las llaves que permiten la recuperación de la misma.
El usuario y la contraseña no son suficientes, es importante añadir elementos adicionales como token, mensaje enviado a smartphone, además, pensar en los back up.
Además, resaltó que es necesario una evaluación de la infraestructura, considerando algunos aspectos:
- Entender los activos críticos de la organización y sus niveles de conexión entre su infraestructura
- Que servicios e información se expone en internet
- Si la compañía cuenta con un plan de respuesta a incidentes con una base mínima y suficiente de accione para identificar, contener, erradicar, recuperar
- Además, la concientización de que a pesar de los niveles altos de seguridad, siempre existe una posibilidad de tener un incidente y de modo que es imprescindible tener un modelo de atención acorde a la evolución de las amenazas.
En Ecuador las amenazas más frecuentes según señaló el experto Eduardo Chavarria Ovalle, como miembro del Equipo Global de Respuesta a Incidentes de Kaspersky, tiene que ver con:
- Las amenazas frecuentes como tendencia general son los botnes, sin embargo, hace dos años Kaspersky halló en Ecuador una infraestructura propia de botnes desde donde se distribuía la gestión de sistemas controlados que luego se movieron a otros países.
- El hacktivismo ha sido aprovechado por otros actores para afectar las infraestructuras.
Impacto del ransomware
Eduardo Chavarria Ovalle señaló los pasos previos y el impacto del ransomware.
El ransomware es la inscripción de archivos, servicios desactivados que no funcionan, información que desaparece, tiene otro nombre o no se la puede abrir, con el objetivo de pedir rescate.
Para el especialista, el impacto empieza con el vector de acceso, por ejemplo, los atacantes acceden a un servidor de la infraestructura usando sesiones con privilegios, crean un sistema pivote y utilizan elementos adicionales que posibilitan aislar sistemas de monitoreo, disminuir defensas localmente y cuando toman el control desactivan el sistema e implementan varias herramientas para persistencias. De manera que instalan su propia puerta, sin tener que usar un vector de acceso.
En este caso, los atacantes utilizan aplicaciones legítimas que no son maliciosas. Frente a ello, “debemos repensar la estrategia de defensa y preguntarnos si tenemos elementos de seguridad para detectar este tipo de aplicaciones que son desplegadas sin autorización de las organizaciones”.
También, acceden a un control de dominio creando usuarios con privilegios para desactivar los controles de seguridad.
En la etapa de descubrimiento utilizan herramientas para escanear la red y seguir aumentando su alcance, y extraen credenciales para acceder a otros sistemas mediante del RDP/SMB y despliegue del malware a todos los sistemas.
Finalmente, el experto se pregunta en los casos de empresas que han sufrido ransomware, ¿si funcionó el end point? “seguramente lo hizo, solo que el atacante tuvo tiempo para “apagar todo” utilizando recursos legítimos que no estamos preparados para verlos”. Señala que “Hay que empezar a cambiar la estrategia de seguridad”
Back up frente al secuestro de información
Cuando hay un ataque de randsomware también hay filtración, se llevan información antes de proceder a cifrarla para presionar el pago. De esta manera amenazan con hacer pública la información secuestrada. Las empresas a pesar de contar con back up analizan aspectos de reputación, cumplimiento, regulación y en ocasiones pagan por ese silencio.
Mi seguridad afectada por la de otros
Las organizaciones pueden tener los mejores controles y procesos, sin embargo, es necesario considerar la afectación de la cadena de suministros. Por ejemplo, el uso de aplicativos de terceros que se instalan con mucha periodicidad, el alojamiento de información en data center, etc., y definir niveles de afectación.