zephyr_p - stock.adobe.com
Alerta por incremento de actividades de Avaddon previo a elecciones en México
SILIKN recomienda a las organizaciones gubernamentales y de infraestructura crítica de México tomar medidas para proteger sus sistemas y activos, especialmente en la semana previa a las elecciones federales, que tendrán lugar el domingo 6 de junio.
Después del ciberataque de ransomware perpetrado contra la Lotería Nacional de México, y que se dio a conocer el 27 de mayo pasado, el grupo de cibercriminales conocido como Avaddon está incrementando su actividad en el país norteamericano, con una gran cantidad de herramientas que se están movilizando en foros clandestinos y el crecimiento de la red de afiliados que contratan el ransomware como servicio (RaaS) de dicho grupo delictivo.
Se estima que, tras las acciones que ejecutará contra la Lotería Nacional –a la cual le dieron 240 horas para pagar el rescate–, los delincuentes se enfocarán, a través de varios grupos de afiliados, en vulnerar otro sitio de relevancia nacional o alguna organización de infraestructura crítica.
De acuerdo con la unidad de investigación de SILIKN, las campañas de Avaddon en curso están afectando a instituciones gubernamentales, financieras, industria y manufactura y aerolíneas, así como organizaciones del sector salud y atención médica.
Avaddon es un ransomware cuyos primeros ataques fueron detectados a finales del año 2019 y que, a mediados del 2020, comenzó a reclutar afiliados en foros clandestinos para su programa de RaaS.
La alerta emitida por la unidad de investigación de SILIKN señala que las acciones delictivas de Avaddon se están propagando a través de correos electrónicos con phishing y spam que distribuyen archivos JavaScript maliciosos.
Avaddon cifra los datos utilizando una clave de cifrado AES-256 única, verifica el idioma del sistema operativo y la distribución del teclado, así como la geolocalización predeterminada y el idioma del sistema del dispositivo del usuario para determinar si el usuario puede ser objetivo del ataque.
La unidad de investigación de SILIKN señala que los atacantes que utilizan el ransomware Avaddon han comprometido a las víctimas mediante el uso de inicios de sesión de protocolo de escritorio remoto o apuntando a redes privadas virtuales que están mal configuradas o usan autenticación de factor único. El malware que dispersan, además de aumentar los privilegios, contiene un código de protección anti-análisis y permite la persistencia en el sistema de la víctima.
Acciones urgentes a realizar
Por lo anterior, la empresa recomienda a las organizaciones gubernamentales y de infraestructura crítica tomar medidas urgentes para proteger sus sistemas y activos durante esta semana, previa a las elecciones federales de México, que tendrán lugar el próximo domingo 6 de junio. Algunas de ellas son:
- Hacer una copia de seguridad de los datos críticos fuera de línea y garantizar que las copias de los datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.
- Asegurar las copias de seguridad y garantizar que no se pueda acceder a los datos para modificarlos o eliminarlos del sistema donde residen.
- Usar autenticación de dos factores con contraseñas seguras, especialmente para servicios de acceso remoto.
- Supervisar los informes de amenazas cibernéticas con respecto a la publicación de credenciales de inicio de sesión de VPN comprometidas.
Sobre el autor: Víctor Ruiz es fundador de SILIKN y mentor del Centro de Ciberseguridad.