Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Por qué los ataques de ransomware a municipios subieron en 2019

El ransomware se extendió a varios gobiernos municipales, estatales y locales en los EE. UU. en 2019. Los investigadores de amenazas evalúan el aumento de los ataques y qué esperar en 2020.

El flagelo de los ataques de ransomware que devastaron los gobiernos municipales, estatales y municipales de EE. UU. en 2019 fue tan grave que algunos se vieron obligados a cerrar, mientras que otros declararon un estado de emergencia.

Varios proveedores de seguridad informaron un aumento dramático en los ataques de ransomware en las redes del sector público el año pasado. Según un informe reciente de Kaspersky Lab, titulado «Historia del año 2019: Ciudades bajo asedio de ransomware», 174 organizaciones municipales fueron infectadas con ransomware el año pasado, «un aumento aproximado del 60 % del número de ciudades y pueblos que informaron haber sido víctimas de los ataques un año antes». La información se basa en estadísticas disponibles públicamente y anuncios monitoreados por expertos de Kaspersky.

Kaspersky calculó que las organizaciones educativas representaron el 61 % de los casos y los ayuntamientos y los centros municipales ocuparon el segundo lugar con el 29 %.

Check Point Software Technologies vio una tendencia similar. Según el Informe de Seguridad Cibernética 2020 de Check Point Research, «los municipios de EE. UU. fueron una opción popular en el sector público» para los ataques de ransomware el año pasado.

«La distribución de ransomware ha cambiado de un juego de números a un enfoque más específico de ‹caza mayor› donde los actores de amenazas avanzadas encuentran o compran su camino en organizaciones específicas», dijo el informe. «Esto les ha permitido encriptar infraestructuras vitales y exigir altos pagos de rescate».

Lotem Finkelstein, jefe de inteligencia de amenazas en Checkpoint, dijo que su compañía observó varias tendencias durante todo el año relacionadas con el ransomware, la más notable de las cuales fue la cooperación entre diferentes grupos cibercriminales que buscaban propagar infecciones.

«No hace mucho, el informe del Departamento de Seguridad Nacional advirtió a las organizaciones que tengan más cuidado con las infecciones de Emotet porque este es el desencadenante de infecciones más peligrosas», dijo Finkelstein. «Vimos una alianza entre dos o tres ciberdelincuentes donde uno entrega [ransomware] Emotet, otro entrega Trickbot y otro más entrega Ryuk».

Aunque los ciberdelincuentes no necesariamente saben de antemano en qué organizaciones o empresas se están infiltrando, Finkelstein observó una tendencia de que los gobiernos de las ciudades, los estados e incluso los gobiernos federales de EE. UU. eran más atacados que otros.

Matt Olney, director de inteligencia de amenazas en Cisco Talos, atribuyó la insuficiencia de seguridad como una de las razones detrás del aumento de los ataques de ransomware en los municipios.

«Cuando estás en un nivel de ciudad, municipal o de condado, no siempre estás equipado con los mejores talentos, capacidades o componentes de seguridad», dijo Olney. «Los actores de amenazas buscan un acceso fácil utilizando las herramientas que ya tienen».

Ataques notables en 2019

Finkelstein dijo que la tendencia de las huelgas municipales comenzó con el ataque del ransomware SamSam en Atlanta en 2018; la tendencia se intensificó el año pasado, con una serie de ataques contra una red gubernamental tras otra.

10 de los ataques de ransomware más notables en municipios de EE.UU. el año pasado.

En marzo, la capital del estado de Nueva York fue golpeada con un ataque que afectó a algunos de los servicios y datos confidenciales de Albany. En abril, otra capital se vio afectada cuando la red de la ciudad de Augusta, Maine, fue desconectada.

Un mes después, Baltimore sufrió uno de los ataques más importantes del año. Según Kaspersky, los actores de amenazas desplegaron el ransomware RobbinHood y luego exigieron una recompensa de bitcoin equivalente a alrededor de $ 114.000 dólares, que la ciudad se negó a pagar. La repercusión: Pagaron generosamente en costos de recuperación, que se dispararon más de $ 18 millones.

New Bedford, Massachusetts, después de ser infectado con Ryuk en julio, fue amenazado con una de las mayores demandas de rescate conocidas: $ 5,3 millones.

Algunos ataques causaron tanta interrupción que los gobiernos se vieron obligados a tomar medidas drásticas. Después de que Nueva Orleans fue golpeada en diciembre, el alcalde de la ciudad declaró el estado de emergencia.

En agosto, el estado de Texas fue víctima de un ataque coordinado donde 22 municipios fueron atacados simultáneamente; la mayoría de los objetivos eran gobiernos locales que estaban conectados a través de un único proveedor de servicios administrados (MSP) que estaba usando ConnectWise Control, una herramienta de acceso remoto.

Varias ciudades de Florida también sufrieron ataques, incluidas Stuart City y Pensacola, que enfrentaron una demanda de rescate de un millón. Dos ciudades de Florida finalmente decidieron pagar los rescates: Riviera Beach ($ 600.000) y Lake City (alrededor de $ 500.000).

En julio, 225 alcaldes de EE. UU. se reunieron en una resolución para dejar de pagar el rescate.

Pero los actores de amenazas están evolucionando, como es evidente en los primeros meses de 2020. Ahora, los líderes tienen la presión adicional de la exposición de datos además del cifrado de datos, una tendencia al alza en este complejo panorama de amenazas.

Tácticas para orientar los ataques

Fedor Sinitsyn, analista senior de malware de Kaspersky, dijo que diferentes actores de amenazas tienen estrategias diferentes al elegir a sus víctimas.

«Una estrategia más sofisticada, que actualmente es popular entre los principales grupos criminales, requiere la participación manual de un operador calificado. Un grupo infecta a varias víctimas aleatorias con un troyano de acceso remoto, luego el operador realiza manualmente el reconocimiento en el sistema infectado. Si el actor descubre que la PC comprometida es parte de una gran red, tratará de obtener privilegios e infiltrarse en otros nodos y en el controlador de dominio. En este punto, los delincuentes probablemente sabrán qué organización han comprometido».

Elegir a la víctima por adelantado y llevar a cabo un ataque dirigido puede resultar más rentable para los actores de la amenaza, dijo Sinitsyn. Comprometer la red de un proveedor de servicios gestionados es una forma de lograrlo, dijo.

Finkelstein estuvo de acuerdo en que los MSP son un objetivo común.

«La tendencia de ransomware dirigida es la misma que llamamos una tendencia de ‹una parada antes del objetivo›. Aunque una organización es víctima, pueden ser solo una parada antes del ataque principal, que es el caso con los MSP. Usualmente ellos son una organización confiable, y nadie sospecha que comprometerían a sus clientes», dijo.

El informe ‹State of the Phish› de Proofpoint también confirmó que «muchos ataques recientes de ransomware de alto perfil parecen ser infecciones secundarias en organizaciones que ya están comprometidas con otro malware». Gretel Egan, estratega de capacitación y conciencia de seguridad en Proofpoint, dijo a SearchSecurity que su compañía vio menos cargas de ransomware entregadas directamente a través de correos electrónicos de phishing; en cambio, los actores de amenazas obtuvieron acceso a redes con otros tipos de malware y, después de moverse lateralmente por el entorno, desplegaron su ransomware.

En algunos casos, se utilizó malware adicional para algo más que la intrusión, según Sinitsyn. «A veces, los actores de amenazas introducen una función adicional en su troyano que les permite contar la cantidad de archivos cifrados y el tamaño total de los datos cifrados por víctima. En ese caso, el rescate se calculará automáticamente en función de estos números», dijo.

Aparentemente, otros factores estuvieron involucrados en la forma en que los actores de la amenaza presentaron demandas específicas de rescate. Por ejemplo, el informe de Kaspersky encontró que el rescate promedio oscilaba entre «$ 5.000 y $ 5.000.000, con números que varían mucho, ya que los fondos extorsionados de los distritos de las ciudades pequeñas a veces eran 20 veces más pequeños que los extorsionados a los ayuntamientos de los grandes municipios».

Respuesta de ransomware

Según el ‹State of the Phish› de Proofpoint, el 51 % de las organizaciones estadounidenses encuestadas optaron por pagar a los actores de amenazas después de recibir un ataque de ransomware exitoso. Pero muchas ciudades importantes y municipios grandes se han comprometido a no pagar a los actores de amenazas en tales ataques.

Según el informe de Kaspersky, «el presupuesto de seguridad cibernética de los municipios a menudo se centra más en el seguro y la respuesta de emergencia que en medidas proactivas de defensa».

Con todos los beneficios del seguro cibernético, también hay puntos flacos.

«La organización asegurada puede optar por invertir menos en sus defensas de red, auditoría de seguridad y capacitación de los empleados, lo que podría aumentar la probabilidad de una violación de seguridad», dijo Sinitsyn. «En segundo lugar, en caso de una infección de ransomware, la compañía de seguros puede verse obligada a pagar el rescate a los actores de la amenaza, lo que promueve este tipo de actividad maliciosa».

Mandy Stanton, abogada de ciberseguridad, privacidad y protección de datos del bufete de abogados Mitchell Williams, dijo que los gobiernos estatales, municipales y locales deberían prestar atención a la llamada de atención de 2019. «Definitivamente es hora de hacer un cambio estratégico y priorizar la ciberseguridad».

Stanton dijo que sus clientes a menudo buscan consejo antes de un ataque de ransomware, y ella predica preparación.

«Los atacantes saben que las ciudades son a menudo una organización dividida en compartimentos, por lo que una estrategia de seguridad proactiva debe incluir a las partes interesadas de toda la empresa que representan todos los puntos de entrada comunes para un atacante», dijo. «La burocracia del sector público de las ciudades, múltiples departamentos y diferentes políticas y plataformas tecnológicas causan una estructura organizacional fracturada y conducen a un despliegue más lento de las medidas de seguridad, lo que facilita a los atacantes aprovecharse de eso. Si una ciudad decide trabajar con socios externos en un evento de crisis, entonces debe comenzar a construir esas relaciones ahora».

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close