Guatemala — Miguel Ángel Mendoza, especialista en Seguridad Informática de ESET Latinoamérica, explicó a Bloomberg Línea que el grupo de ransomware Onix, que se atribuye el ciberataque al Ministerio de Relaciones Exteriores de Guatemala (Minex) es conocido porque sus últimos ataques han sido dirigidos y están relacionados con el secuestro de información sensible.
Lo anterior, se refiere a que previamente se compromete la infraestructura tecnológica accediendo por alguna vía, que viene desde la explotación de vulnerabilidades, adivinar contraseñas de algún servicio público del internet, entre otros.
Una vez que logran el acceso a la infraestructura, los atacantes buscan comprometer aún más a la organización, a través de movimientos laterales, escalación de privilegios, de tal forma que la ejecución del ransomware, como tal, es una de las últimas fases, “porque previamente pudieron tener acceso a mucha información sensible”, enfatizó el especialista.
“Es información que se exfiltra o roba, así que esa puede ser la respuesta del por qué los servidores están comprometidos, si se logra validar o comprobar este ataque, por lo tanto, es importante conocer la postura pública del Minex para tener idea de los impactos”, recomendó Mendoza.
Bloomberg Línea envío varias consultas al Departamento de Comunicación del Minex y al cierre del presente artículo no se recibieron las respuestas.
Daños son millonarios
Este ransomware ya tiene algunos años, por ejemplo, en el 2016, una de sus versiones se distribuía a través de anuncios de publicidad o correos de spam o basura y solicitaba pagos por alrededor de US$100 para recuperar los archivos comprometidos, ahora está enfocado a objetivos específicos y/o dirigidos; y esta amenaza se traduce en un mayor impacto, destacó Mendoza.
En ESET de acuerdo con la telemetría que utilizan dejaron de ver campañas masivas en el 2017 y encontraron un nuevo enfoque donde los ataques empezaron a operar como amenazas persistentes avanzadas, es decir, identifican el objetivo específico para comprometer la seguridad y después ejecutar el malware, de tal forma que información sensible está comprometida para luego solicitar pagos más elevados y los montos ahora rebasan los millones de dólares, indicó el profesional.
En esa misma línea, José Amado, director de Ciberseguridad Outsourcing para SISAP, comentó a Bloomberg Línea, que en la práctica un ataque de ransomware es letal, no importando el grupo criminal que lo ejecuta.
En el caso del grupo Onyx no está en la lista de los más peligrosos, sin restarle importancia, aclaró Amado, en comparación con Conti y Lockbit, Onyx es conocido por su estrategia de ataque de doble extorsión, cifran los datos de la víctima, pero también hacen una exfiltración la cual es publicada si no se efectúa el pago.
“Es importante mencionar que estos nombres de las bandas criminales están cambiando todo el tiempo con la intensión de evadir a los investigadores y a las autoridades, los nombres de las bandas tienen corto tiempo de vida, pero es sabido que los criminales detrás de estas bandas siguen siendo los mismos”, enfatizó Amado.
Puntos de contención y recuperación
Amado de SISAP, refirió, que en este momento, la página principal del Minex está disponible, pero algunos de sus servicios están intermitentes.
Durante contención y recuperación del incidente algunos recursos pueden estar intermitentes, esto debido a que se pueden estar llevando a cabo pruebas técnicas para validar la seguridad de los recursos y que tengan disponibles todas sus funciones, en este caso el sitio web.
“Cuando se confirma un ciberataque se inicia una estrategia de respuesta al incidente que incluye varias medidas, una de ellas puede ser el sacar de línea algunos recursos, porque pueden estar comprometidos o por precaución, eso dependerá de la magnitud del ataque. Durante la etapa de investigación se pueden determinar diferentes puntos de contención, así como los puntos de recuperación”, resaltó el ejecutivo.
La vulnerabilidad es más “humana”
Mendoza de ESET Latinoamérica recomendó que las entidades tanto públicas como privadas, deben protegerse mediante estrategias integrales y sólidas de ciberseguridad, porque para un atacante basta encontrar una pequeña debilidad donde pueden comprometer la seguridad; mientras los encargados deben proteger todos sus elementos de infraestructura.
“Desde redes, servidores, equipos, dispositivos móviles, pero va más allá, porque mucho de los accesos están relacionados con campañas de phishing porque están orientados a engañar a las personas, no tanto al software o hardware”, consideró el especialista.
Para Amado de SISAP, la preocupación es la misma que debe tener cualquier entidad pública o privada respecto al riesgo de que se vean comprometidos sus datos o la continuidad de los servicios, toda organización sabe de alguna manera cuál es el impacto económico y reputacional que conlleva un ciberataque de este tipo.
La complejidad de los ataques ha ido creciendo, los cibercriminales se están capacitando y en constante innovación para que sus ataques sean efectivos, “lo más recomendable es que las instituciones se asesoren que con expertos en el tema que les ayuden a construir una estrategia que les permita minimizar el riesgo de un ciberataque”, concluyó Amado.