Comprender los ataques de ransomware RaaS
Surgido en 2019, el ransomware Maze era un tipo de ransomware dirigido a sistemas operativos basados en Windows en diversos sectores. El ransomware comprometía y bloqueaba los datos, exigiendo a menudo el pago de un rescate en forma de bitcoin para liberarlos.
Tras un cierre autoinformado por sus creadores, Maze supuestamente suspendió sus operaciones en 2020, pero poco después surgieron "sucesores" de RaaS (ransomware como servicio) como el ransomware Egregor.
En este artículo trataremos el funcionamiento de RaaS como el ransomware Maze, cómo se infiltra en las organizaciones y qué se puede hacer para prevenir los ataques de ransomware.
¿Qué es RaaS?
El ransomware como servicio (Raas) es un modelo basado en suscripciones que permite a los ciberdelincuentes afiliados utilizar herramientas de ransomware ya desarrolladas para ejecutar ataques de ransomware. Muchos ataques despliegan formas evolucionadas de ransomware desplegado con anterioridad, como el ransomware Maze, que evolucionó hasta convertirse en conocidas amenazas de ciberseguridad como el ransomware Egregor.
¿Cómo funcionaba el ransomware Maze?
El ransomware Maze se infiltra primero en la red, a menudo con campañas de phishing por correo electrónico en las que los mensajes que contienen enlaces de malware o malware descargable se disfrazan de documento de Microsoft Word o Excel.
También se sabe que Maze se infiltra en las redes a través de ataques de fuerza bruta RDP, que a menudo aprovechan con éxito las contraseñas débiles.
Una vez que Maze se ha infiltrado en la red, sus ciberatacantes trabajan para obtener privilegios elevados dentro de la red para poder distribuir el malware a otros ordenadores y comprometer tantos datos como sea posible.
Una vez que han comprometido los datos, los exfiltran a servidores controlados por los ciberatacantes.
¿Cómo exfiltró Maze los datos?
Exfiltrar datos significa mover datos fuera de una red de confianza y protegida. Maze lo consigue utilizando un protocolo de transferencia de archivos (FTP) que luego copia los archivos a otro servidor y los encripta. Esto significa que las víctimas no podrán acceder a sus archivos ni al lugar en el que están almacenados.
¿Qué era el sitio web del ransomware Maze?
Maze operaba un sitio web en el que publicaba regularmente datos comprometidos para demostrar que sus ciberataques tenían éxito y castigar a quienes no pagaban el rescate.
En 2020 Maze anunció en su propio sitio web que cerraría, pero muchos sospechan que los operadores de Maze siguen en libertad y operando bajo diferentes nombres.
¿De dónde procede el ransomware Maze?
No está claro de dónde procede exactamente el ransomware Maze, pero se sospecha ampliamente que el grupo Maze forma parte de una vasta red de afiliados cibercriminales que también desarrollan otros tipos de malware.
Lo que ha quedado claro es que el ransomware Maze ha allanado el camino a los sucesores de RaaS, concretamente Egregor, que surgió poco después del cierre de Maze en 2020.
Ataques del ransomware Egregor
Egregor, un "hijo" de las familias de ransomware Maze y Sekhmet, comenzó a operar en septiembre de 2020 y fue desplegado y distribuido en gran medida por afiliados de Maze. Una de las diferencias más notables es que el ransomware Egregor no sólo inutilizaba archivos y programas, sino que los operadores publicaban los datos comprometidos si no se pagaba un rescate en tres días.
Esta táctica de doble extorsión convirtió rápidamente a Egregor en una fuerza a tener en cuenta, y el coste más alto registrado del rescate de Egregor alcanzó los 4 millones de dólares.
Egregor tuvo una carrera de seis meses antes de ser retirado por el FBI y las autoridades ucranianas. Existe la sospecha generalizada de que Egregor resurgirá pronto con otro nombre.
Por qué un ransomware RaaS es tan peligroso para la sanidad
Los ciberatacantes se aprovechan de las vulnerabilidades de todas las organizaciones que necesitan proteger datos sensibles, y las organizaciones sanitarias suelen tener una gran cantidad de información médica de los pacientes que debe permanecer protegida. Los ciberatacantes pueden amenazar con vender, publicar o compartir de cualquier otra forma la información protegida por la HIPAA a la que obtengan acceso, lo que pone a las víctimas de estos ciberataques en una situación muy difícil.
A pesar de los ciberataques, la importancia de mantener el cumplimiento de la HIPAA supone un reto único para el sector sanitario, pero hay formas de seguir cumpliendo la HIPAA sin sacrificar la comodidad de la comunicación y la facilidad de funcionamiento, y también protegiendo a la organización de los ciberatacantes.
Por ejemplo, los servicios de ciberseguridad como Mimecast, que ofrecen canales de comunicación conformes con la HIPAA para proteger la información incluso cuando se envía por correo electrónico. A la hora de considerar un proveedor de servicios de ciberseguridad, las organizaciones sanitarias harán bien en trabajar con uno que pueda entender y adherirse al cumplimiento de la HIPAA.
¿Debe pagar el rescate por los ataques de ransomware RaaS?
Por lo general, es aconsejable no pagar el rescate por cualquier ataque de ransomware, ya que no hay garantías de que los delincuentes cumplan el rescate. Además, el pago del rescate no impedirá que sigan vendiendo o mostrando los datos comprometidos.
Asegúrese siempre de informar de los ataques de ransomware a las autoridades competentes.
Cómo puede ayudar Mimecast a prevenir los ataques de ransomware RaaS
Aunque es casi imposible evitar el ransomware por completo, la mejor forma de mitigar los daños de los ataques de ransomware es asociarse con un proveedor de servicios de ciberseguridad como Mimecast.
- Los servicios de ciberseguridad permiten una protección de datos y una copia de seguridad cómodas sin comprometer la comunicación y el funcionamiento fluidos dentro de su organización.
- Formación sobre concienciación en materia de seguridad que capacita a sus equipos para proteger su organización
- Realice copias de seguridad de sus datos con la seguridad en la nube de Mimecast.
Para saber más sobre cómo Mimecast puede ayudarle a prevenir los ataques de ransomware programe una demostración.
