La amenaza del año 2017

28 Dic 2017

Como cada año, nuestros expertos analizan los incidentes y las tendencias que han tenido lugar y anuncian cuál ha sido el más importante del año. No hay duda de que el 2017 ha sido el año del ransomware, como demuestran las tres epidemias que tanto han dado de qué hablar: WannaCry, ExPetr y la menos conocida, Bad Rabbit, pero al menos solo una “pareció” ser de ransomware cifrador.

Cabe recalcar que, aunque los incidentes sucedieron de repente y cogieron a muchos usuarios por sorpresa, nuestros expertos ya predijeron estas tendencias en 2016. Costin Raiu y Juan Andrés Guerrero-Saade anunciaron en su pronóstico del 2017 publicado en Securelist que esperaban la aparición de diferentes ransomware que bloquearían el acceso a los archivos o al sistema de la víctima o que, simplemente, eliminarían sus archivos y le engañarían pidiendo un rescate para luego no devolverle nada.

Recordemos las lecciones más importantes que hemos aprendido a causa de estos ataques:

Las técnicas de movimiento lateral que emplea el malware

Estas epidemias se hicieron famosas porque el malware no solo cifraba un ordenador, sino también todos los dispositivos conectados a la misma red. Este nivel de infiltración fue posible gracias a las vulnerabilidades que divulgó el grupo The Shadow Brokers.

Cuando empezaron las epidemias, ya existían parches para prevenirlas, sin embargo, la mayoría de los dispositivos no los tenían todavía. Además, algunos ciberdelincuentes siguen usando hoy en día estas vulnerabilidades (y, por desgracia, con bastante éxito).

Lección 1: Instala las actualizaciones en cuanto estén disponibles, sobre todo cuando estén directamente relacionadas con la seguridad.

Sistemas no críticos

Entre las víctimas de los cifradores, ha habido muchos sistemas que estaban completamente desprotegidos frente al rasomware porque nadie creyó que necesitaran esa protección. Algunos de estos sistemas fueron paneles informativos y máquinas expendedoras y, siendo sinceros, no hay nada que cifrar en estos sistemas y nadie pagaría para descifrarlos.

Pero en estos casos, los ciberdelincuentes no escogían a sus víctimas, sino que infectaban todo lo que podían. El daño fue significativo, ya que reinstalar los sistemas operativos de estos dispositivos no críticos fue y sigue siendo una costosa pérdida de tiempo.

Lección 2: Protege todos los elementos de tu infraestructura de información.

Sabotaje en lugar de extorsión

ExPetr carece de un mecanismo que pueda identificar a la víctima en particular, por lo que los hackers no podrían, aunque quisieran, darles a los usuarios la clave para descifrar sus archivos. De esto podemos suponer que su objetivo fue el de causar todo el daño posible y cada rescate que coleccionaban era un premio para ellos.

Esto vuelve a confirmar que pagar el rescate no te garantiza que vayas a recuperar la información.

Lección 3: La única forma de no perder tus datos es hacer copias de seguridad e instalar soluciones de seguridad.

Esperamos que estas lecciones minimicen el daño de ataques similares en el futuro. Después de todo, según nuestros expertos, los cibercriminales seguirán usando malware cifrador el año que viene al estilo de ExPetr: como un arma cibernética que destruye información. Puedes encontrar más detalles del pronóstico del 2018 que nuestros investigadores han realizado en esta entrada de Securelist.