Expertos de TELMEX-Scitum, empresa mexicana de ciberseguridad, detectaron al menos cinco grupos criminales que ejecutan ataques de ransomware, una de las mayores ciberamenazas en Latinoamérica, que afecta principalmente a organizaciones del sector industrial y servicios.
- El ransomware es un programa malicioso que se usa para extorsionar a usuarios y empresas. Este tipo de ataques impide a las víctimas usar sus dispositivos hasta que hayan pagado un rescate.
¡Cuidado con estos grupos de ransomware en México y Latinoamérica!
El grupo criminal LockBit 3.0 fue la principal amenaza del primer semestre de 2023 y utiliza el modelo de negocio Ransomware-as-a-Service (RaaS), que implica vender o alquilar ransomware a sus afiliados.
LockBit 3.0 y BlackCat son los únicos que se mantienen en el top 5 de amenazas con respecto a 2022, según TELMEX-Scitum. Estos son los cinco grupos con mayor presencia en Latinoamérica y México:
- LockBit 3.0
- BlackCat
- Cl0p
- Medusa Blog
- 8base
Durante el primer semestre de 2023, México fue el segundo país con más compañías afectadas por ataques de ransomware, con el 22.2% de reportes en Latinoamérica. El sector servicios fue el más vulnerado con 34.5% de los informes.
[TE RECOMENDAMOS: Las principales ciberamenazas para 2024: ¡cuídate de la IA, troyanos bancarios y más!]
¿Cómo operan estos grupos de ransomware?
Las técnicas más comunes para comenzar los ataques son los correos de phishing, la explotación de vulnerabilidades en Internet y la compra de credenciales comerciadas en tiendas ilegales de contraseñas, según TELMEX-Scitum.
Posteriormente, los cibercriminales deshabilitan el software de seguridad de los dispositivos de sus víctimas, en especial si no está configurado adecuadamente para evitar la manipulación, la desactivación o la desinstalación. Así opera cada grupo:
LockBit 3.0 (46.5% de los ataques)
LockBit 3.0 es un grupo de ransomware que opera as-a-Service. Explota vulnerabilidades, credenciales filtradas y ataques de fuerza bruta para atacar a organizaciones de todo el mundo.
Se basan en una táctica de triple extorsión para presionar a las víctimas a pagar el rescate. El grupo cifra los datos de las víctimas, amenaza con publicar los datos en línea y realiza ataques de denegación de servicio (DDoS).
- Un ataque DDoS intenta hacer que los sitios web de las empresas no estén disponible, colapsándolos con tráfico malintencionado para que no pueda funcionar correctamente.
8base (11.1% de los ataques)
8base Ransomware es un grupo relativamente nuevo que ha experimentado un aumento significativo de actividad en los últimos meses. Utiliza técnicas de distribución para infectar a las víctimas y luego cifra sus datos utilizando una versión personalizada de Phobos Ransomware.
Aplica una táctica de doble extorsión para obligar a las víctimas a pagar el rescate de la misma forma que Lockbit 3.0. Además, publica los nombres de las víctimas en redes sociales y en su sitio web para incrementar la presión.
BlackCat (9.1% de los ataques)
BlackCat compromete las redes de las víctimas a través de credenciales filtradas y técnicas de fuerza bruta. Cifra los datos de las víctimas y los elimina de los sistemas de recuperación. El grupo también extrae sus datos confidenciales para publicarlos o usarlos para extorsiones.
También utiliza una táctica de doble y triple extorsión para presionar a las víctimas a pagar el rescate. El grupo exige dinero para descifrar los datos cifrados, y también amenaza con publicar los datos confidenciales de la víctima.
Cl0p (8.1% de los ataques)
Cl0p es un grupo de ransomware que opera como RaaS. Compromete las redes de las víctimas y explota sus vulnerabilidades con ataques de fuerza bruta usando credenciales filtradas. También extorsiona a los clientes y socios de las víctimas.
Estos criminales exigen un rescate para descifrar los datos cifrados y amenaza con publicar los datos exfiltrados en línea o lanzar ataques DDoS contra la infraestructura de la víctima.
Medusa Blog (7.1% de los ataques)
Medusa Blog utiliza una variedad de técnicas de distribución, incluyendo correos electrónicos de phishing, descargas maliciosas y ataques de fuerza bruta.
Este grupo cifra los datos de las víctimas y los filtra para que sean publicados en línea o utilizados para extorsionar. Además, utiliza una táctica de doble extorsión para presionarlas. El grupo de ransomware exige un rescate para acceder a los datos cifrados y amenaza con publicar los datos en la dark web.
Otros grupos de ransomware en Latinoamérica
Los datos de TELMEX-Scitum también advierten por otros grupos criminales de ransomware que atacaron a empresas de América Latina. Estas son:
- Malas Locker
- Mallox Data Leaks
- Play Ransomware
- Qilin
- Ragnar Locker
- Rhysida
- Royal
- Tellyouthepass
- VICE SOCIETY
- BlackByte Blog
¿Cómo evitar caer en ataques de ransomware?
Debido a que los ataques de ransomware afectan principalmente a organizaciones, los expertos de TELMEX-Scitum ofrecen los siguientes consejos para empresas:
- Mantener los sistemas actualizados con las últimas correcciones de seguridad.
- Implementar una solución de gestión de contraseñas para proteger las credenciales.
- Implementar una solución de detección y respuesta a incidentes para responder rápidamente a los ataques.
Además, los especialistas suscriben las siguientes recomendaciones para que las compañías puedan protegerse de los cinco grupos de ransomware más comunes de Latinoamérica:
- Establecer protocolo de alertamiento para que los miembros de su organización reporten ataques y actúen rápido.
- No hacer clic en enlaces ni descargar archivos adjuntos desde correos o páginas web sospechosas.
- Establecer, dentro de las políticas de la organización, el uso de un segundo factor de autenticación para acceder a servicios e infraestructura crítica con la finalidad de minimizar la posibilidad de un acceso no autorizado.
- Si la organización cuenta con servidores o equipos legados o sin soporte, es altamente recomendable mantenerlos en una red aislada, monitoreada y protegida, para evitar que sean comprometidos fácilmente.
- Planificar y realizar pruebas de seguridad de manera periódica para identificar si existen vulnerabilidades.
- Concientizar a los usuarios sobre los peligros de este tipo de ataques.
Finalmente, los especialistas de la empresa mexicana de ciberseguridad llaman a nunca pagar el rescate que los grupos de atacantes piden. Para más recomendaciones, se aconseja visitar el portal oficial de TELMEX-Scitum.
[TE RECOMENDAMOS: ¡Cuidado con los hackers de la generación Z! Estas son sus ciberestafas preferidas]
Te recomendamos:
Científicos “hablan” con ballenas para aprender a comunicarse con aliens
