Un reciente informe del Centro Nacional de Ciberseguridad del Reino Unido, perteneciente al GCHQ (organización clave en la historia de la informática y de la Inteligencia Artificial, como abordamos en nuestro post sobre Alan Turing) ha arrojado unas interesantes conclusiones: entre septiembre de 2019 y agosto de 2020 registraron 723 ciberataques graves y 200 de ellos tuvieron que ver con el COVID-19. Esto supone que un cuarto de los ciberataques en los últimos meses ha tenido relación con la Pandemia.

 Esos datos también tienen correlación con el incremento de los incidentes que venimos registrando desde Cytomic debido, tanto al auge del teletrabajo -y por tanto, la ampliación de la superficie de ataque-  como del malware que aprovecha el interés de contenidos relacionados con la pandemia.

Precisamente, el informe del GCHQ dedica una especial atención a ese último aspecto con una de las técnicas más habituales y persistentes entre los ciberatacantes: el ransomware. De hecho, la institución señala que ha tenido que afrontar tres veces más incidentes de ransomware que en el mismo periodo el año pasado. Además,  el sector hospitalario, como apuntamos el pasado junio, vuelve a ser uno de los principales objetivos.

Phishing y cargadores_

Uno de los ejemplos más recientes de esta ola de ciberataques de ransomware que guardan relación con el COVID-19 es el uso del malware Trickbot contra el sistema sanitario de EEUU. La agencia de Ciberseguridad e Infraestructuras de EEUU, el FBI y el Departamento de Salud emitieron una alerta en la que advirtieron que los ciberatacantes han usado este malware en varios hospitales del país.

CISA explica que Trickbot comenzó como un troyano bancario y es “descendiente” del malware Dyre. También indican que el vector de ataque más común para Trickbot es el phishing masivo, que suele contener archivos como PDFs relacionados con el COVID-19, pero también han detectado emails sin fichero y casos más individuales de ingeniería social donde han suplantado a otros ejecutivos de la organización.

Trickbot proporciona a los ciberatacantes una serie de herramientas que permiten actividades como el robo de credenciales, minado de criptomonedas y la más utilizada de todas: el despliegue de ransomware. En este sentido, utilizan BazarLoader como “cargador” y el ransomware más común detectado con Trickbot es el famoso Ryuk, sobre el que Cytomic publicó un informe específico hace unos meses. Una vez introducido Ryuk, utiliza un cifrado AES de 256 bits para encriptar los archivos de los sistemas. Después aparece un mensaje donde indica cómo pagar el rescate en bitcoins.

Copias, formación y soluciones avanzadas_

Para evitar este tipo de incidentes con despliegue de ransomware que pueden generar tanto daño a las organizaciones de salud, CISA recomienda varias medidas de políticas, mejores prácticas y soluciones específicas. Entre las más destacadas se encuentran:

  • Implementar un plan de recuperación y continuidad con copias de seguridad que sean almacenadas de manera offline regularmente, con el fin de evitar que si los sistemas son encriptados por el ransomware, se pare completamente la actividad de la organización.
  • Fomentar la sensibilización y la formación de los empleados en vectores de ataque que suelen desplegar ransomware como el phishing y que reconozcan más fácilmente las técnicas de ingeniería social como la suplantación de identidad y los fraudes.
  • Utilizar soluciones de ciberseguridad que regularmente escaneen todos los sistemas. Esto debe incluir cualquier actividad en cada uno de los endpoints para desvelar patrones anómalos de usuarios, máquinas y procesos, ya que, como ha mostrado Trickbot, el ransomware se puede desplegar utilizando como vector de ataque formas que pueden escapar a las soluciones de seguridad tradicionales, como emails sin fichero. Para ello, la solución avanzada Cytomic EPDR contiene las capacidades avanzadas EDR de prevención y detección en el Endpoint junto con una completa suite de tecnologías preventivas, siempre con el modelo de Zero Trust Application Service, para denegar la ejecución de cualquier binario hasta que sea clasificado como seguro.