Los ataques cibernéticos operados por humanos representan una amenaza cada vez más grande para las organizaciones alrededor del mundo, comprometiendo información sensible e infiltrándose en las redes de las empresas.
Ransomware Conti
Un ejemplo de ello es Conti, un ransomware que logra infiltrarse en las redes y obtener acceso a credenciales de administrador en apenas 16 minutos posteriores a la vulneración de un firewall. De acuerdo con Sophos, se trata de una acción de “doble extorsión”, realizada por humanos, que roba información sensible y amenaza con cifrarla y exponerla a cambio de un rescate.
Peter Mackenzie, gerente general de Sophos Rapid Response, explica que se le denomina de ‘doble extorsión’ porque los atacantes obtienen acceso de forma simultánea a dos servidores para que los equipos de ciberseguridad, al detectar el ataque, deshabiliten únicamente uno de ellos, creyendo que detuvieron la amenaza a tiempo.
En ese momento, los cibercriminales únicamente cambian de servidor y continúan su propagación, en una especie de ‘Plan B’. “Este es un enfoque común en los ataques dirigidos por humanos y un recordatorio de que detectar únicamente una actividad sospechosa en la red no significa que el ataque haya terminado”, explica.
Conti llega a México
Este tipo de ransomware se ha presentado, sobre todo, en Estados Unidos, pero ya tuvo presencia en México: de acuerdo con el sitio Conti News, desde 2020 y hasta la fecha se han presentado cerca de 180 casos de Conti a nivel global. Del total, EE.UU., con 128 ataques, es el país con mayor incidencia, seguido de Canadá con 14 y Reino Unido con 11 empresas vulneradas. En nuestro país, hay solo un caso registrado, siendo el único país latinoamericano en el que se ha presentado.
Una investigación de Sophos revela que los atacantes suelen obstruir el análisis del personal de TI de las empresas mediante la implementación de balizas Cobalt Strike legítimas en los equipos comprometidos, para posteriormente cargar el código durante el ataque, sin dejar huellas, esto para que los equipos de defensa no lo encuentren y/o examinen.
Posteriormente, en el caso estudiado, la empresa no tuvo más remedio que cerrar las operaciones. El equipo de Sophos Rapid Response, luego de que la víctima se puso en contacto, neutralizó el ataque en 45 minutos y la firma pudo recuperar, en un día, la información afectada y reanudar sus operaciones.
“Este es un ataque muy rápido y potencialmente devastador“, indica Peter Mackenzie. “Descubrimos que los atacantes lograron comprometer la red del objetivo y obtener acceso a las credenciales de administrador del dominio dentro de los 16 minutos posteriores a la vulneración de una firewall y, en cuestión de horas, despliegan la columna vertebral del ataque de ransomware”.
¿Qué hacer ante Conti?
Los primeros pasos a seguir que recomienda Sophos ante este tipo de amenazas son:
- Cerrar el protocolo de escritorio remoto (RDP) orientado para denegar el acceso de los ciberdelincuentes a las redes.
- Si se necesita acceso al RDP, hacerlo mediante una conexión VPN
- Utilizar seguridad en capas para prevenir, proteger y detectar ciberataques, incluidas las capacidades de detección y respuesta de endpoints (EDR) y equipos de respuesta administrados, como Sophos Rapid Response, que vigilan las redes las 24/7.
- Disponer de un plan de respuesta a incidentes eficaz y actualizarlo según sea necesario. Si no hay seguridad de que se tengan las habilidades o los recursos al interior de la organización para monitorear amenazas o responder a incidentes, considerar recurrir a especialistas.
La evolución constante de amenazas cibernéticas y el trabajo humano detrás de ellas vuelve cada vez más compleja la labor de defenderse para las organizaciones, razones por las que es indispensable contar con un aliado estratégico en ciberseguridad de última generación.
El robo y/o la vulnerabilidad de la información podría generar un impacto negativo en las operaciones y altos costos económicos para las compañías.
Para obtener más información visita www.sophos.com.