Debido a los acontecimientos surgidos en los últimos años, como la pandemia del COVID-19, diferentes organizaciones tanto gubernamentales como privadas se han visto obligadas a una transformación digital de manera acelerada. La ciberseguridad se ha convertido en una necesidad por los crecientes ataques de los ciberdelincuentes que han aprovechado los servicios en línea y la normalización del teletrabajo, figurando hoy en día una gran amenaza a los diferentes sectores.

Uno de los ataques más lucrativos debido a su efectividad y a las altas ganancias que genera ha sido el ransomware. Según un informe de Sophos, el 74% de las empresas mexicanas sufrieron este tipo de ataque en 2021 y cada una de ellas pagó un costo de recuperación promedio de $482,446 dólares. Tan solo en el primer trimestre de 2022, México ya experimentó 14,000 ataques de ransomware.

Para que un ataque de ransomware sea efectivo, es necesario que se cumplan ciertas condiciones técnicas como:
• Ganar persistencia
• Escalar privilegios
• Manipular y evadir software
• Movimientos laterales

Para esto, existen múltiples TTPs (Tactics, Techniques and Procedures, por sus siglas en inglés) que ayudarán al ciberactor. Algunos de los vectores de ataque más comunes en este tipo de amenazas son los siguientes:
• Compromisos de RDP (Remote Desktop Protocol, por sus siglas en inglés)
• Email phishing
• Software vulnerable

En la siguiente gráfica se muestra el porcentaje en promedio que ha tenido cada vector de ataque:

Figura 1 Vectores de ataque ransomware.

El compromiso por RDP tiene un alto grado de efectividad, ya que proporciona una forma de conectarse a los sistemas de manera remota.

Los ciberactores pueden aprovechar los RDP desde ataques de fuerza bruta, que durante la pandemia tuvieron un crecimiento considerable, compra de accesos en mercados negros, hasta aprovecharse de los sistemas vulnerables, ya que existen exploits públicos asociados a BlueKeep, el cual permite la ejecución remota de código para obtener acceso no autorizado a las computadoras con Windows y posteriormente proceder a instalar el malware.

Las campañas de phishing a través del correo electrónico han sido consideradas como una de las puertas de entrada de malware más comunes y efectivas. Todo esto radica en que el eslabón más débil en la cadena de la ciberseguridad es el ser humano; basta con un poco de ingeniería social, un adjunto de archivos o enlaces para que, al dar clic, el código malicioso sea ejecutado, robando información o instalando puertas traseras y permitiendo la entrada de ciberdelincuentes al equipo.

Tal es el caso de Emotet, un troyano ampliamente conocido, que, a pesar de estar considerado extinto, resurgió en los últimos meses utilizando en general los mismos TTP, pero con algunas variaciones que hacen más efectiva su infección por ser un malware polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga para evitar su detección.

Otro de los métodos utilizados por ciberactores que tiene menor impacto que los mencionados anteriormente, pero de igual manera con una eficacia muy alta, es la explotación de vulnerabilidades críticas presente en:

• Microsoft Exchange, tecnología que está asociada a los siguientes CVE (Common Vulnerability Exposures, por sus siglas en inglés):
– CVE-2021-34473: Permite eludir controles ACL.
– CVE-2021-34523: Permite la escalación de privilegios en Exchange PowerShell Backend.
– CVE-2021-31207: Permite la ejecución remota de código.

• FortiGate firewall, tecnología que está asociada a los siguientes CVE:
– CVE-2018-13379: Permite a un atacante no autenticado descargar archivos del sistema operativo FortiOs en dispositivos Fortigate por medio de solicitudes HTTP utilizando los caracteres “..” y “/” para llegar a ubicaciones restringidas, acceder a directorios y archivos encontrados en otras partes del sistema.

• Apache Log4j, tecnología que está asociada a los siguientes CVE:
– CVE-2021-44228: Permite a un atacante descargar y ejecutar scripts maliciosos desde un dominio controlado por el ciberactor para obtener el control total del servidor vulnerable.

Existen técnicas de infección con un bajo porcentaje de utilización en comparación a los anteriores descritos, sin embargo, se han registrado casos de éxito. Tal es el caso de infecciones vía dispositivos de memoria USB mejor conocidas como baiting. Los ciberdelincuentes, mediante ingeniería social, engañan a su víctima para que utilice un dispositivo USB en sus equipos de cómputo y de esta manera los logre infectar con troyanos capaces de recopilar información y/o desplegar amenazas como el ransomware.

Fuentes:
https://businessinsider.mx/mayoria-empresas-mexicanas-sufrieron-ataque-ransomware-2021_tecnologia/
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/960/