Un ransomware supone la primera amenaza para la ciberseguridad de las organizaciones. Este año, concretamente entre los meses de abril y junio los ataques ransomware han representado casi la mitad de todos los incidentes a escala global, y más del triple que la siguiente amenaza más común: la explotación de vulnerabilidades en Microsoft Exchange Server.
Pero ¿cómo ha afectado a las comunicaciones durante el verano? El último informe trimestral de Cisco Talos, la mayor organización privada de inteligencia frente a ciberamenazas del mundo, desvela que este verano los atacantes dirigieron el malware a una amplia gama de sectores como son el transporte, las telecomunicaciones, la fabricación y la Educación y siendo el sector sanitario el más atacado en el tercer trimestre consecutivo. Le sigue la Administración Pública. Pero, ¿cómo podemos comprobar que hemos sido afectados? Un ejemplo claro ha sido el de los datos de vacunación en la Comunidad de Madrid, que quedaron al descubierto, además sus datos del SEPE desaparecieron.
Para llevar a cabo este tipo de ataques, los actores de ransomware utilizaron herramientas comerciales como Cobalt Strike, aplicaciones de código fuente abierto (OSINT) incluyendo Rubeus y otras herramientas nativas del dispositivo de las víctimas como PowerShell.
¿Por qué se producen más ataques en verano?
La respuesta es sencilla: es en el periodo estival cuando cuando las víctimas son más vulnerables. De hecho, en comparación a los días laborales, durante los fines de semana, periodos vacacionales o al cierre de los ejercicios fiscales es cuando más ciberataques se detectan.
Hay que tener en cuenta que el randsomware es una herramienta capaz de cifrar archivos y que las mafias que operan suelen amenazar a sus víctimas solicitando un desembolso económico para que estas puedan recuperar la normalidad. Además, es en verano cuando las importantes firmas, terminan sus ejercicios fiscales en plena temporada de calor lo que representa el peor momento para sufrir un ciberataque.
Por ello, concretamente este año algunos gobiernos han empleado mayores recursos y esfuerzo para combatir este tipo de ciberataques. Es el caso de Estados Unidos, que ha combatido más incidentes informáticos que en anteriores temporadas. De hecho, el FBI consiguió interceptar buena parte del rescate que tuvo que abonar Colonial para poder volver a operar con normalidad.
Los ciberataques pueden ser de tal magnitud que incluso pueden afectar directamente a las vidas humanas. De hecho, el pasado año una paciente de un hospital alemán que sufrió un ciberataques falleció a causa de la pérdida del control y monitorización de la víctima. Por otro lado, el Ministerio de Trabajo y Economía Social ha sufrido durante este año dos graves ciberataques: uno dirigido al SEPE, que paralizó la administración durante más de dos semanas. El segundo fue dirigido al Ministerio, que ha licitado hasta 400.000 euros para tratar de mitigar sus efectos.
Ciberamenazas
Otras ciberamenazas observadas son la explotación de vulnerabilidades conocidas: la minería de criptomonedas y el control de cuentas de usuarios. También ha habido varios incidentes relacionados con unidades USB troyanizadas, un antiguo vector de ataque no detectado durante años.
Concretamente en algunos incidentes, la unidad USB contenía el malware Sality, una de las familias de malware más antiguas. Basado en la salida de Cisco Secure Endpoint, el malware Sality se ejecutó y se replicó varias veces en varias rutas en la unidad C utilizando nombres aleatorios que terminan en extensiones de archivo «exe», «pif» y / o «cmd». Esto ilustra la importancia de evitar la reutilización de USB, especialmente para las empresas de OT.
