Ransomware como servicio (RaaS), una amenaza que no se detiene

Las alarmas continúan encendidas debido a los ciberataques de RansomHub, un grupo de ransomware que ofrece ransomware como servicio (RaaS) y ha afectado a, al menos, 210 organizaciones desde su aparición en febrero de 2024. Este aumento, sin precedentes, ha llevado a las organizaciones a buscar defensas robustas, planes de respuesta y soluciones de recuperación.

A medida que estas amenazas se expanden, es crucial entender cómo RansomHub elude las defensas y qué medidas tomar para protegerse, pues éste ha sido utilizado para infiltrarse en organizaciones de diversos sectores, incluyendo tecnología de la información, servicios gubernamentales, salud, servicios de emergencia, alimentación, agricultura y servicios financieros, encriptando y exfiltrando datos de las víctimas.

Según Ricardo Villadiego, CEO de Lumu Technologies, empresa especializada en detectar y responder automáticamente a ataques cibernéticos, explica que: “el ransomware como servicio es ofrecido por RansomHub a una variedad de ‘afiliados’. Estos afiliados lo utilizan para infiltrarse en organizaciones, cifrar y extraer los datos de las víctimas. Una vez que se produce el ataque de ransomware, esto puede tener repercusiones generalizadas para cualquier organización. Además del dilema de pagar el rescate, puede causar interrupción de operaciones y daño a la reputación”.

Los ataques de RansomHub suelen comenzar con correos electrónicos de phishing, explotación de vulnerabilidades conocidas y ataques de “password spraying” (intentos de contraseñas predecibles en varios identificadores de usuario). Una vez dentro, los atacantes ocultan el ransomware bajo nombres inofensivos y lo colocan en ubicaciones accesibles. Para evadir la detección, desactivan productos antivirus y, a veces, deshabilitan sistemas de detección y respuesta en el punto final (EDR) usando herramientas específicas. Luego escalan privilegios, se mueven lateralmente dentro de la red, y proceden a encriptar y exfiltrar datos.

La Cybersecurity and Infrastructure Security Agency (CISA) indica que RansomHub emplea la táctica MITRE ATT&CK: T1562.001 para dañar defensas, deshabilitando o modificando herramientas. “Esto puede implicar varias estrategias, como cerrar procesos de software de seguridad, alterar archivos de configuración o detener actualizaciones para evitar que se apliquen los últimos parches. Al deshabilitar estas herramientas, los atacantes pueden evitar la detección y continuar con sus actividades maliciosas sin ser detectados”, agrega Villadiego.

Además, los atacantes manipulan componentes del sistema, modifican módulos, alteran claves de registro para desactivar el registro de eventos y evitan la verificación de firmware en dispositivos de red. También desactivan herramientas de monitoreo en la nube y abusan de herramientas de seguridad legítimas para eludir mecanismos de protección.

Ante esta situación, los expertos han recomendado las siguientes medidas:

1. Monitorear la red de forma integral: RansomHub y otros tipos de ransomware sofisticados pueden eludir herramientas de seguridad en el punto final, haciendo esencial una vigilancia integral de la red. Es indispensable implementar soluciones avanzadas para registrar y analizar todo el tráfico de la red, permitiendo detectar actividades inusuales en tiempo real y responder de manera proactiva.
2. Implementar detección en tiempo real: Dado que los métodos de ransomware evolucionan constantemente, es crucial mantener los sistemas de seguridad actualizados. Se debe asegurar que los programas antivirus ofrezcan detección en tiempo real y actualizarse regularmente en todos los dispositivos conectados a la red
3. Utiliza las técnicas de MITRE ATT&CK: El marco MITRE ATT&CK, un marco que documenta tácticas y técnicas de ataque cibernético para ayudar a las organizaciones a detectar y defenderse contra amenazas, proporciona una guía valiosa para entender y mitigar ataques de ransomware. Aplicar las tácticas y técnicas descritas en este marco puede ayudar a identificar patrones de ataque y desarrollar estrategias efectivas para proteger los sistemas.

“Muchas organizaciones han confiado cada vez más en los EDR para la ciberseguridad, pero vemos en advertencias como esta que los ciberdelincuentes encuentran formas de evadirlos. Aunque los EDR juegan un papel crucial en el stack de ciberseguridad de una organización, si no hay una arquitectura de seguridad robusta y multicapa en su lugar, la dependencia excesiva en los EDR puede dejar la puerta abierta al ransomware”, alerta el CEO de Lumu Technologies.

El ejecutivo considera que una arquitectura de seguridad sólida y en capas, que incluya monitoreo de red (NDR) para proporcionar visibilidad crucial de las amenazas, es fundamental para reducir el riesgo. Combinar esta visibilidad con acciones en tiempo real, mediante herramientas de respuesta y defensas perimetrales, puede reducir significativamente el riesgo de ataques.