¿Qué es el ‘ransomware’, el ciberataque perpetrado contra JBS?
Expertos aseguran que se trata de una de las amenazas cibernéticas más temidas por las empresas. Le decimos cómo prevenirlo.
El pasado domingo, la compañía de cárnicos JBS, una de las más importantes del mundo, informó que algunos de sus servidores fueron objeto de un ciberataque. La falla afectó los sistemas informáticos de la firma en América del Norte y Australia y varias plantas se vieron obligadas a suspender temporalmente su producción.
Días después, el FBI informó que el ataque fue perpetrado por REvil, un grupo de ciberdelincuentes que se especializan en ‘ransomware’ y tienen una plataforma en la que subastan documentos confidenciales.
Aunque no está claro desde dónde operan, el buró tiene indicios de que sus miembros podrían ser de origen ruso.
Lea también: FBI confirma que hackers de REvil perpetraron ciberataque a JBS
JBS fue víctima de un esquema que toma cada vez más fuerza en el mundo y que se ha convertido en el dolor de cabeza de las empresas: el ‘ransomware’, un software malicioso que busca encriptar o bloquear un sistema informático con fines extorsivos.
Su nombre proviene de la palabra inglesa “ransom”, que significa “rescate”, pues los usuarios, empresas y demás víctimas deben pagar un dinero para recuperar su información.
“El ‘ransomware’ es quizás el ataque al que más temen todas las compañías hoy en día”, dice Ignacio Triana, gerente de tecnología para MCA en la empresa de ciberseguridad Trend Micro. “No solamente están arriesgando su información, sino también la reputación, algo que intentan cuidar mucho”.
¿Cómo funcionan los ataques?
Según Triana, con esta modalidad los atacantes buscan acceder a las redes operativas para luego encriptar datos privilegiados. El método más común es el ‘phishing’ o suplantación de identidad por medio de correos electrónicos fraudulentos: casi el 90 % de los ataques analizados por la compañía se efectúan por esta vía.
El ‘malware’ también puede introducirse por medio de sitios de torrents populares, aplicaciones cargadas o por vulnerabilidades en dispositivos y enrutadores domésticos inteligentes, como por ejemplo contraseñas predeterminadas o fáciles de adivinar. “Los actores de amenazas apuntan a estos dispositivos para usar las redes domésticas de los empleados como un trampolín hacia las redes corporativas”, señala la compañía.
Segunda fase: entender la red
De acuerdo con el experto, una vez que los atacantes ingresan a las redes de la empresa, empiezan a moverse entre equipos y a intentar pasar desapercibidos mientras comprenden su funcionamiento. Este proceso puede durar meses hasta que encuentran el servidor crítico. Sin embargo, no siempre son fáciles de detectar por las compañías, por lo que es recomendable que cuenten con un software de seguridad adecuado y análisis de vulnerabilidades en correos, redes y servidores.
“Lo que decimos a nuestros clientes es que en cada una de esas capas podemos identificar situaciones que no son normales: como intentos de logueo de un usuario desde otros computadores, intentos de conexión de usuarios fuera del país o procesos mucho más sofisticados”, dice Triana.
Le puede interesar: Ciberdelincuentes le apuntan a cadenas de frío de vacunas
La tercera fase de estos ataques consiste en cifrar el servidor crítico y pedir un rescate por la información, que puede consistir en datos de usuarios, empleados, cuentas de clientes, etcétera. “También puede suceder que intenten impactar la operación de una compañía, como bloquear una cadena de suministro o la implementación de algún artefacto. El ataque puede no solo impactar a la compañía sino lo que la rodea”, agrega el experto.
¿Qué pasa cuando una empresa es víctima de ‘ransomware’?
A muchas de las compañías que son objeto de estos ataques las salva el tener copias de respaldo de la información más delicada, pues pueden continuar con sus operaciones. Sin embargo, para las que no cuentan con este backup, todo depende de la agresividad del ataque y las posturas de las empresas en ciberseguridad.
En algunos casos, alcanzan a reaccionar con rapidez y a desplegar soluciones con firmas expertas, que pueden detectar dónde están los atacantes o el software malicioso. Sin embargo, Triana cuenta que hay ataques mucho más complejos que ni siquiera permiten instalar herramientas especializadas para mitigar el impacto, haciendo que sea “prácticamente imposible” de solucionar.
De hecho, el pasado mayo, Joseph Blount, CEO de Colonial Pipeline, reveló a The Wall Street Journal que su compañía pagó US$4,4 millones tras ser atacada bajo este esquema. La principal red de oleoductos de Estados Unidos estuvo cerrada cinco días por este hecho, poniendo en riesgo el abastecimiento de combustibles en ese país temporalmente.
Blount aseguró que autorizó el pago porque desconocían el alcance del daño y el tiempo que les llevaría retomar sus actividades si no accedían.
Para volver a leer: Ciberataque a oleoducto genera pánico en estaciones de servicio de EE. UU.
¿Cómo se puede prevenir el ‘ransomware’?
Aunque es fundamental que las compañías cuenten con proveedores de soluciones que puedan hacer un monitoreo constante a sus redes, buena parte de los ataques pueden ser prevenidos si los trabajadores tienen prácticas adecuadas en materia de ciberseguridad.
Estas son algunas recomendaciones básicas de Trend Micro para quienes laboran desde casa:
Evite dar información personal. Algunos actores malintencionados toman información disponible públicamente y la usan para obtener acceso a información privada más valiosa, o la usan para enviar e implementar malware en su dispositivo. Tenga cuidado con el tipo de información que comparte en línea; asegúrese de proporcionar información privada solo cuando sea absolutamente necesario.
Fortalezca la higiene de su contraseña. Los teletrabajadores deben emplear las mejores prácticas de contraseñas para su correo electrónico y otras cuentas: ocho o más caracteres y símbolos; evite la repetición, secuencias o patrones; y no reutilice las contraseñas. Dado que algunas herramientas y portales corporativos en línea también pueden tener valores predeterminados que los atacantes pueden utilizar mediante la fuerza bruta, es mejor cambiar las contraseñas con regularidad e implementar la autenticación multifactor.
Los usuarios de Windows deben activar “Mostrar extensiones de archivo”. Mostrar extensiones de archivo es una funcionalidad nativa de Windows que muestra a los usuarios qué tipos de archivos se están abriendo. A veces, los actores malintencionados utilizan nombres de archivo que parecen dos extensiones, por ejemplo, “photo.avi.exe”. Los usuarios deben utilizar esta función de Windows para comprobar qué están abriendo y evitar cualquier archivo sospechoso.
Abra solo archivos adjuntos de correo electrónico de confianza. El ‘ransomware’ comúnmente se propaga a través del correo electrónico no deseado, y muchos distribuidores ya conocen los títulos de temas más efectivos para captar la atención del usuario. Algunos actores también usan archivos poco comunes en su correo no deseado y confían en que los usuarios simplemente hagan clic sin mirar. Evite abrir extensiones de archivo sospechosas (como .EXE, .VBS o .SCR). Algunos usuarios pueden incluso configurar sus servidores de correo web para bloquear esos archivos adjuntos.
Le sugerimos leer: Ojo con los retiros sin tarjeta: así utilizan esta herramienta para estafar
Desactive la conexión a internet si la computadora muestra un comportamiento sospechoso. El ‘ransomware’ normalmente necesita conectarse con un servidor de comando y control (C&C) para completar su rutina de cifrado. Sin acceso a Internet, el ‘ransomware’ permanecerá inactivo en un dispositivo infectado. Si un usuario logra atraparlo durante las primeras etapas del ataque, puede deshabilitar el acceso a internet y mitigar cualquier daño.
Aproveche todas las herramientas y funciones de seguridad a su disposición. Muchos dispositivos y software ya tienen funciones de seguridad integradas y actualizadas constantemente. Actualice el firmware de su enrutador doméstico, así como los sistemas operativos y el software en PC, dispositivos móviles y navegadores a las últimas versiones. Esto incluye cualquier herramienta virtual y VPN de su empresa. Todos los equipos también deben ejecutar soluciones de seguridad de punto final y de red actualizadas de un proveedor de confianza. (Esto debe incluir funciones anti-intrusión, anti-amenazas web, anti-spam, anti-phishing y, por supuesto, anti-ransomware).
El pasado domingo, la compañía de cárnicos JBS, una de las más importantes del mundo, informó que algunos de sus servidores fueron objeto de un ciberataque. La falla afectó los sistemas informáticos de la firma en América del Norte y Australia y varias plantas se vieron obligadas a suspender temporalmente su producción.
Días después, el FBI informó que el ataque fue perpetrado por REvil, un grupo de ciberdelincuentes que se especializan en ‘ransomware’ y tienen una plataforma en la que subastan documentos confidenciales.
Aunque no está claro desde dónde operan, el buró tiene indicios de que sus miembros podrían ser de origen ruso.
Lea también: FBI confirma que hackers de REvil perpetraron ciberataque a JBS
JBS fue víctima de un esquema que toma cada vez más fuerza en el mundo y que se ha convertido en el dolor de cabeza de las empresas: el ‘ransomware’, un software malicioso que busca encriptar o bloquear un sistema informático con fines extorsivos.
Su nombre proviene de la palabra inglesa “ransom”, que significa “rescate”, pues los usuarios, empresas y demás víctimas deben pagar un dinero para recuperar su información.
“El ‘ransomware’ es quizás el ataque al que más temen todas las compañías hoy en día”, dice Ignacio Triana, gerente de tecnología para MCA en la empresa de ciberseguridad Trend Micro. “No solamente están arriesgando su información, sino también la reputación, algo que intentan cuidar mucho”.
¿Cómo funcionan los ataques?
Según Triana, con esta modalidad los atacantes buscan acceder a las redes operativas para luego encriptar datos privilegiados. El método más común es el ‘phishing’ o suplantación de identidad por medio de correos electrónicos fraudulentos: casi el 90 % de los ataques analizados por la compañía se efectúan por esta vía.
El ‘malware’ también puede introducirse por medio de sitios de torrents populares, aplicaciones cargadas o por vulnerabilidades en dispositivos y enrutadores domésticos inteligentes, como por ejemplo contraseñas predeterminadas o fáciles de adivinar. “Los actores de amenazas apuntan a estos dispositivos para usar las redes domésticas de los empleados como un trampolín hacia las redes corporativas”, señala la compañía.
Segunda fase: entender la red
De acuerdo con el experto, una vez que los atacantes ingresan a las redes de la empresa, empiezan a moverse entre equipos y a intentar pasar desapercibidos mientras comprenden su funcionamiento. Este proceso puede durar meses hasta que encuentran el servidor crítico. Sin embargo, no siempre son fáciles de detectar por las compañías, por lo que es recomendable que cuenten con un software de seguridad adecuado y análisis de vulnerabilidades en correos, redes y servidores.
“Lo que decimos a nuestros clientes es que en cada una de esas capas podemos identificar situaciones que no son normales: como intentos de logueo de un usuario desde otros computadores, intentos de conexión de usuarios fuera del país o procesos mucho más sofisticados”, dice Triana.
Le puede interesar: Ciberdelincuentes le apuntan a cadenas de frío de vacunas
La tercera fase de estos ataques consiste en cifrar el servidor crítico y pedir un rescate por la información, que puede consistir en datos de usuarios, empleados, cuentas de clientes, etcétera. “También puede suceder que intenten impactar la operación de una compañía, como bloquear una cadena de suministro o la implementación de algún artefacto. El ataque puede no solo impactar a la compañía sino lo que la rodea”, agrega el experto.
¿Qué pasa cuando una empresa es víctima de ‘ransomware’?
A muchas de las compañías que son objeto de estos ataques las salva el tener copias de respaldo de la información más delicada, pues pueden continuar con sus operaciones. Sin embargo, para las que no cuentan con este backup, todo depende de la agresividad del ataque y las posturas de las empresas en ciberseguridad.
En algunos casos, alcanzan a reaccionar con rapidez y a desplegar soluciones con firmas expertas, que pueden detectar dónde están los atacantes o el software malicioso. Sin embargo, Triana cuenta que hay ataques mucho más complejos que ni siquiera permiten instalar herramientas especializadas para mitigar el impacto, haciendo que sea “prácticamente imposible” de solucionar.
De hecho, el pasado mayo, Joseph Blount, CEO de Colonial Pipeline, reveló a The Wall Street Journal que su compañía pagó US$4,4 millones tras ser atacada bajo este esquema. La principal red de oleoductos de Estados Unidos estuvo cerrada cinco días por este hecho, poniendo en riesgo el abastecimiento de combustibles en ese país temporalmente.
Blount aseguró que autorizó el pago porque desconocían el alcance del daño y el tiempo que les llevaría retomar sus actividades si no accedían.
Para volver a leer: Ciberataque a oleoducto genera pánico en estaciones de servicio de EE. UU.
¿Cómo se puede prevenir el ‘ransomware’?
Aunque es fundamental que las compañías cuenten con proveedores de soluciones que puedan hacer un monitoreo constante a sus redes, buena parte de los ataques pueden ser prevenidos si los trabajadores tienen prácticas adecuadas en materia de ciberseguridad.
Estas son algunas recomendaciones básicas de Trend Micro para quienes laboran desde casa:
Evite dar información personal. Algunos actores malintencionados toman información disponible públicamente y la usan para obtener acceso a información privada más valiosa, o la usan para enviar e implementar malware en su dispositivo. Tenga cuidado con el tipo de información que comparte en línea; asegúrese de proporcionar información privada solo cuando sea absolutamente necesario.
Fortalezca la higiene de su contraseña. Los teletrabajadores deben emplear las mejores prácticas de contraseñas para su correo electrónico y otras cuentas: ocho o más caracteres y símbolos; evite la repetición, secuencias o patrones; y no reutilice las contraseñas. Dado que algunas herramientas y portales corporativos en línea también pueden tener valores predeterminados que los atacantes pueden utilizar mediante la fuerza bruta, es mejor cambiar las contraseñas con regularidad e implementar la autenticación multifactor.
Los usuarios de Windows deben activar “Mostrar extensiones de archivo”. Mostrar extensiones de archivo es una funcionalidad nativa de Windows que muestra a los usuarios qué tipos de archivos se están abriendo. A veces, los actores malintencionados utilizan nombres de archivo que parecen dos extensiones, por ejemplo, “photo.avi.exe”. Los usuarios deben utilizar esta función de Windows para comprobar qué están abriendo y evitar cualquier archivo sospechoso.
Abra solo archivos adjuntos de correo electrónico de confianza. El ‘ransomware’ comúnmente se propaga a través del correo electrónico no deseado, y muchos distribuidores ya conocen los títulos de temas más efectivos para captar la atención del usuario. Algunos actores también usan archivos poco comunes en su correo no deseado y confían en que los usuarios simplemente hagan clic sin mirar. Evite abrir extensiones de archivo sospechosas (como .EXE, .VBS o .SCR). Algunos usuarios pueden incluso configurar sus servidores de correo web para bloquear esos archivos adjuntos.
Le sugerimos leer: Ojo con los retiros sin tarjeta: así utilizan esta herramienta para estafar
Desactive la conexión a internet si la computadora muestra un comportamiento sospechoso. El ‘ransomware’ normalmente necesita conectarse con un servidor de comando y control (C&C) para completar su rutina de cifrado. Sin acceso a Internet, el ‘ransomware’ permanecerá inactivo en un dispositivo infectado. Si un usuario logra atraparlo durante las primeras etapas del ataque, puede deshabilitar el acceso a internet y mitigar cualquier daño.
Aproveche todas las herramientas y funciones de seguridad a su disposición. Muchos dispositivos y software ya tienen funciones de seguridad integradas y actualizadas constantemente. Actualice el firmware de su enrutador doméstico, así como los sistemas operativos y el software en PC, dispositivos móviles y navegadores a las últimas versiones. Esto incluye cualquier herramienta virtual y VPN de su empresa. Todos los equipos también deben ejecutar soluciones de seguridad de punto final y de red actualizadas de un proveedor de confianza. (Esto debe incluir funciones anti-intrusión, anti-amenazas web, anti-spam, anti-phishing y, por supuesto, anti-ransomware).