Para finales de 2023, México se posicionaba como el segundo país en Latinoamérica, después de Perú, con el mayor número de detecciones únicas de ransomware, representando un total del 16.3% de la distribución en LATAM según los datos de telemetría proporcionados por la marca de ciberseguridad ESET.
Imagen 1.
Detecciones telemetría ESET 2023.
La tendencia para el año 2024 es que el ransomware seguirá siendo un gran desafío en nuestra región y específicamente en México. Los ciberdelincuentes no harán distinciones entre sectores públicos o privados, ni entre empresas grandes o pequeñas.
Durante el primer trimestre, a pesar de los considerables esfuerzos de diversas agencias gubernamentales como el FBI para frenar estas actividades ilícitas, los grupos de ciberdelincuentes continúan operando a través del Ransomware-as-a-Service.
Aquellos grupos que han sido desmantelados o detenidos han resurgido al invitar a sus afiliados a migrar a otros medios, lo que ha generado una especie de colaboración entre comunidades. Si el grupo A falla, pueden unirse al grupo B o C según las ideologías y motivaciones de sus nuevos usuarios.
En México, también se observa que exmiembros de estos grupos deciden mantener el código fuente operativo y adaptarlo a diferentes situaciones para sus propósitos poco éticos.
A continuación, revisamos las familias de ransomware más activas en México en el primer trimestre de 2024. A pesar de haber sido identificadas anteriormente por la empresa de ciberseguridad ESET, siguen representando una amenaza en el país debido a la falta de implementación de buenas prácticas por parte de los administradores de sistemas.
Ransomware BlackMatter en México.
En publicaciones anteriores se ha destacado el impacto de ALPHV y BlackCat (posible sucesor de BlackMatter) en la región de LATAM.
Aunque BlackMatter cesó oficialmente sus operaciones en noviembre de 2021, como se menciona en el artículo, recientes investigaciones de la empresa de ciberseguridad ESET han revelado muestras activas de este malware. Las infecciones se originaron principalmente por las siguientes razones:
- Los sistemas operativos Windows afectados eran aquellos sin parches actualizados, ya que habían alcanzado el fin de su vida útil (EoL). Además, carecían de software antivirus instalado o, en caso de tener alguno, este no estaba actualizado.
- El servicio de RDP estaba accesible en Internet sin un firewall configurado y con contraseñas débiles vulnerables a ataques de fuerza bruta.
- No se contaba con soluciones de monitoreo para servidores críticos.
- La implementación inadecuada de herramientas y políticas que podrían haber detenido la propagación del malware.
Imagen 4.
Ejemplo de Archivos con extensión [.]cahbtMhMa infectados por el ransomware de BlackMatt
Ransomware Phobos en México.
Este ransomware, una versión mejorada de Crysis y Dharma, fue detectado por primera vez en 2018. Al igual que BlackMatter, ha perdurado gracias a su modelo de negocio (RaaS – Ransomware-as-a-Service).
El código fuente original de Phobos (Crysis) se hizo público en línea, permitiendo a diversas empresas de ciberseguridad crear herramientas de descifrado. Sin embargo, los ciberdelincuentes fueron más astutos con Phobos al mejorar el algoritmo de cifrado, dificultando la recuperación de datos para los equipos afectados.
Los métodos de propagación identificados incluyen:
- Exposición del servicio de RDP a Internet sin firewall y sin credenciales.
- Sistemas operativos Windows sin parches de seguridad debido a la falta de soporte (EoL).
- Falta de controles y políticas de acceso en servidores y clientes.
- Falta de actualizaciones en soluciones de antimalware.
Los sectores más afectados por este tipo de ransomware son:
- Escuelas
- Transporte
- Industria petrolera
- Consultorías
¿Cómo prevenir convertirte en víctima del ransomware?
- Realice copias de seguridad de todos los sistemas críticos para prevenir la pérdida de información.
- Mantenga actualizados los Sistemas Operativos.
- En caso de que el Sistema Operativo esté por finalizar su soporte por parte del fabricante, elija uno que garantice actualizaciones por más de 2 años.
- Asegúrese de tener instalada una herramienta antimalware actualizada.
- Para proteger las conexiones RDP, utilice una VPN, 2FA, restrinja el acceso a usuarios e IP necesarios, y use un puerto diferente al estándar, además de contar con un firewall.
- Establezca una política de acceso y contraseñas que incluya: la expiración de contraseñas (se recomienda cada 60 o 90 días), cambios periódicos de contraseña con al menos 15 caracteres, combinación de letras, números y signos, y un bloqueo de al menos 15 minutos por intentos fallidos.
- Implemente soluciones que permitan monitorear las solicitudes entrantes y salientes en servidores y clientes.
Fuente web: https://www.welivesecurity.com/es/ransomware/ransomware-mexico-panorama-primer-trimestre-2024/
