La mayoría de las compañías en el mundo, actualmente tienen una postura de seguridad que no es lo suficientemente madura para afrontar los tipos de amenazas cibernéticas que pueden verse atacados. Esto se refleja en sus controles administrativos, técnicos o físicos, donde es común ver servidores con software sin actualizaciones recientes, programadores siendo negligentes con su trabajo u organizaciones donde ni siquiera se sabe el propósito de tener una política de seguridad. Todo esto hace que las compañías sean vulnerables a posibles amenazas con serias repercusiones como en el caso de compañías como Nortel, YouBit, que llegaron a la bancarrota. Dadas estas circunstancias, muchos grupos que se dedican al cibercrimen han utilizado diferentes métodos para atacar organizaciones con el fin de realizar algún tipo de extorsión, ya sea a través de ransomware, DDoS, cyber blackmail entre otros.

Aunque existen muchas causas por la cual estos ataques pasan, hay una serie de prácticas que podrían evitar que la situación escale. Siempre se debe de considerar que estas prácticas son sólo un complemento para lo que debe ser el objetivo principal, que es tener un postura de seguridad madura.

Identificar qué tipo de comunicación estoy recibiendo


Al momento de recibir algún correo o al ver alguna nota dentro de un fichero del sistema operativo de un servidor (en el caso de ransomware) lo primero que necesitamos identificar es lo siguiente:

¿Esta comunicación fue hecha exclusivamente para mi o es generalizada?

Dependiendo de la respuesta a esta pregunta, la forma de actuar podría ser completamente diferente. Si la comunicación está dirigida exclusivamente a mi persona o empresa nos encontraríamos con un escenario muy difícil puesto que nosotros seriamos el objetivo del atacante y no simplemente obtener recursos de alguna forma.

Para determinar en cuál de estos dos escenarios nos encontramos vamos a utilizar el siguiente comunicado como ejemplo:

alt text

Hay muchos puntos importantes que podemos utilizar para determinar si este correo fue enviado exclusivamente para mi o si es generalizado. Si racionalizamos el mensaje podemos llegar a las siguientes premisas:

  1. La contraseña que se está referenciando no es actual, existe una mayor posibilidad de que este mensaje sea generalizado.
  2. Mi computadora no tiene webcam o si esta está tapada el argumento del atacante de que vio a la víctima no es válido.
  3. Si tomamos parte del texto del correo y lo ponemos en algún buscador (Google) y nos da resultados de otras personas reportando eventos parecidos, es prácticamente un hecho de que el mensaje es generalizado.
  4. Un malware que pueda hacer una sesión RDP, keylogger, tomar capturas de la pantalla, del webcam y obtener todos los contactos de múltiples fuentes, requiere altos niveles de sofisticación para poder pasar desapercibido por las heurísticas de los antivirus si este realiza todas estas actividades. No es imposible, puesto que hay muchos malware multipropósito pero es menos probable.

Este tipo de análisis nos ayudará a determinar el tipo de mensaje que estamos recibiendo.

Pasos a tomar

  1. Mensajes Específicos Recomendamos contratar a un equipo legal especializado en delitos informáticos dependiendo del tipo de extorsión, o contratar a alguna empresa dedicada a consultoría en ciberseguridad antes de proceder con algún paso adicional. En el caso de una organización con equipo técnico especializado, se pueden buscar muchas alternativas adicionales, pero esta no es la realidad de muchas empresas.

Afortunadamente, este primer escenario es por mucho el menos común de los dos, por lo que la mayoría de las veces nos encontraremos siendo una de tantas entidades que los atacantes están contactando simultáneamente.

  1. Mensajes Generalizados Para estas situaciones se recomienda no ceder antes las exigencias del atacante, puesto que estos tipos de mensajes/demandas son enviadas por métodos automatizados en la que se busca llegar a la mayor cantidad de víctimas posibles. Por esta razón, es mucho más complicado para el atacante tener una bitácora para poder determinar quién responde a las peticiones o no, y al mismo tiempo el uso de criptomonedas para transferencias de los rescates (ransom) hace más difícil rastrear la fuente de estas. De igual forma, se haya hecho el pago o no, en muchos casos no hay un cambio en el comportamiento de los atacantes y es probable que sigan intentando extorsionar si no se implementan las medidas de seguridad adecuadas en el futuro.

Si tiene alguna duda adicional sobre este tema le invitamos a contactarnos a services@networkdaddy.net.