• junio 2, 2022

Recomendaciones para reducir ransomware o secuestro de datos como los perpetrados en Costa Rica y Perú por el grupo Conti

Recomendaciones para reducir ransomware o secuestro de datos como los perpetrados en Costa Rica y Perú por el grupo Conti

Según la inteligencia de amenazas de BlueVoyant, una de las formas de éxito de Conti y otros atacantes es a través de conexiones de redes públicas virtuales (VPN) comprometidas o mal configuradas.

Por Timothy Lehey, Analista senior y jefe de investigación en BlueVoyant

Para protegerse contra el ransomware, las organizaciones de América Latina y de todo el mundo deberían centrarse en mejorar su postura de ciberdefensa. Según la inteligencia de amenazas de BlueVoyant, una de las formas de éxito de Conti y otros atacantes es a través de conexiones de redes públicas virtuales (VPN) comprometidas o mal configuradas. Los expertos ha observado que las credenciales de VPN latinoamericanas se comercializan entre los corredores de acceso inicial de ransomware.

Además, las organizaciones deberían llevar a cabo pruebas regulares de phishing y formación. Los delincuentes que extorsionan vía ransomware y otros grupos hacen un uso intensivo de esta táctica para engañar a los empleados para que hagan clic en enlaces o abran archivos adjuntos cargados de malware.

Las organizaciones también deberían añadir la autenticación multifactor (MFA) a las cuentas y recursos para dificultar el acceso de los delincuentes a las redes. La MFA requiere que los usuarios proporcionen dos o más factores de verificación para obtener acceso a una cuenta o recurso.

Otra medida eficaz es asegurarse de que los empleados sólo pueden acceder a los documentos y datos que necesitan, una práctica denominada principio de mínimo privilegio. Los empleados, los sistemas y otras cuentas solamente deben poder acceder a los dispositivos y documentos necesarios para realizar sus tareas. Esto minimiza el daño que se puede hacer si un sistema se ve comprometido.

Al final, tomar incluso algunas de estas precauciones hará que sea menos probable que las organizaciones se vean afectadas y puedan evitar el ransomware.

Otra medida eficaz es asegurarse de que los empleados sólo pueden acceder a los documentos y datos que necesitan, una práctica denominada principio de mínimo privilegio.

La situación actual

Según la última información sobre amenazas de BlueVoyant, el ransomware ha aumentado en América Latina. En los últimos meses, se han registrado tres ataques exitosos contra importantes instituciones latinoamericanas: el gobierno de Costa Rica (que afectó a múltiples organismos), la Secretaría de Estado de Finanzas de Río de Janeiro y la Agencia de Inteligencia de Perú. Los ataques siguen teniendo efectos de gran alcance.

A mediados de mayo, los atacantes enviaron un mensaje amenazante al gobierno de Perú, informando que el grupo liberaría los archivos a menos que se pagara un rescate.

El 8 de mayo, debido al ataque de ransomware, el Gobierno de Costa Rica declaró el estado de emergencia.

 Las agresiones de Costa Rica y Perú son atribuibles a Conti, la cual fue una de las operaciones de ransomware más prolíficas y destructivas. La banda operaba de alguna forma desde 2017, y fue objeto de filtraciones después de declarar su apoyo a la invasión de Ucrania por parte de Rusia. Conti rápidamente reemplazó ese mensaje con uno más suave. Estas filtraciones no parecen haber afectado a la capacidad operativa del grupo. En ese sentido, BlueVoyant analizó recientemente las filtraciones de Conti y publicó un informe exhaustivo.

Debido a la aparente falta de cooperación del gobierno costarricense para pagar el rescate, Conti amenazó con atacar a otras organizaciones de este país. En los mensajes, la banda hizo una referencia indirecta la asistencia de Estados Unidos para responder a ese ataque; no está claro si se refiere a la asistencia del gobierno estadounidense o la respuesta de una empresa privada.

Aunque parece que Conti no encriptó las redes de la agencia de inteligencia peruana, afirmó haber exfiltrado grandes cantidades de datos. También emitió el típico (e irrisorio) descargo de responsabilidad de que no tiene objetivos políticos; solamente financieros, según la investigación de amenazas de BlueVoyant.

La banda de ransomware Conti se disolvió a finales de mayo, pero los problemas cibernéticos de Costa Rica no. La agencia de salud pública del país fue atacada con éxito por la banda de ransomware Hive sólo una semana después. Este ataque se suma a los ya debilitantes problemas del país debido a los continuos ataques. Este último demostró que, independientemente del adversario, incluso las redes latinoamericanas más críticas se enfrentan a un constante bombardeo de ciberataques, especialmente cuando la actividad de ransomware parece estar (en relativo) descenso en Estados Unidos y Europa.

El ataque brasileño parece estar vinculado a otro grupo de ransomware, llamado Lockbit.

Etiquetas: América Latina / autenticación multifactor / BlueVoyant / Conti / Costa Rica / Perú / problemas cibernéticos

Recomendaciones sobre este tema

¿Cuáles tendencias impactarán el comercio electrónico durante el 2023?

¿Cuáles tendencias impactarán el comercio electrónico durante el 2023?

Inteligencia Artificial, comercio móvil y live shopping serán algunas de las tendencias con mayor crecimiento en sitios de…
Cementos Progreso inicia operaciones en Costa Rica

Cementos Progreso inicia operaciones en Costa Rica

Con más de 120 años de trayectoria en la industria cementera, la compañía centroamericana llevó a cabo su…
Con el apoyo del BCIE más de 11.000 estudiantes costarricenses serán beneficiados con la reconstrucción de sus centros educativos

Con el apoyo del BCIE más de 11.000 estudiantes costarricenses serán beneficiados con la reconstrucción de sus centros educativos

Como parte del financiamiento otorgado por la multilateral a Costa Rica para la reconstrucción de infraestructuras dañadas por…