La nueva oleada de ataques Ransomware que debes saber.

En los últimos mese se han activado una serie de oleadas de ataques Ransomware, que han tenido su objetivo en diferentes puntos y sectores empresariales. En España se ha despegado un ataque masivo de estos ataques.

Por ejemplo,el ransomware LockerGoga se ha usado para extorsionar empresas tanto en Francia, Noruega y EEUU, en ciudades tan importantes como Atlanta, San Antonio y Baltimore, nos transmiten que en el 2019 el ransomware sigue siendo una de las técnicas más frecuentes.

OBJETIVO

El principal objetivo es el endpoint, ya que se encuentra la información más sensible y donde puede comprometer los datos y credenciales de la empresa, desde donde pueden alcanzar otras redes y sistemas.

Las varias hipótesis que se barajan sobre las posibilidades de ataque son:

• Campaña de Spam: Según una de las posibilidades antes del ataque, se lanzaron una serie de campañas de spam, con el objetivo de infectar con el malware EMOTET, que se mantenido de forma latentes y que ha acabado posibilitando la entrada de el ransomware BitPaymer.

• Vulnerabilidad de BlueKeep, que es aprovechado para lanzar los nuevos ataques de ransomware.

• Vulnerabilidad Microsoft Tems: que usa el proceso para ejecutar y descargar un malware.

El ransomware BitPaymer lleva casi tres años entre nosotros y dirigiendo ataques contra las empresas, pero ahora está teniendo una campaña de ataque mucho más masiva que antes. Este ransomware empieza con una serie de correos maliciosos de phishing, y que distribuyen un malware que roba todos los datos y credenciales.

Con este malware acceden a las credenciales de Windows, y con ello hacen una revisión de toda la infraestructura viendo cual es más fácil de atacar ya que es más débil. De tal forma cuando tienen claro cuál infraestructura atacar, inician la marcha al ataque en fin de semana cuando los trabajadores de la empresa no están y más fácil de conseguir los datos es.

Otro ransomware es Ryuk, el cual dejó fuera de sentido el sistema sanitario de Alabama, que dejó fuera de funcionamiento tres hospitales enteros que pagaron el rescate para poder seguir usando todo el sistema.

Al igual también funciona por camapañas de phishing y vulnerabilidades del Remote Desktop Protocol de Windows, todo gestionado desde Rusia por el grupo Wizard Spider que les ha llevado a tener a base de pagos por los ataques casi 3,7 millones de bitcoin.

Según sabemos Ryuk, es una ransomware derivado de Hermes, a la venta en la dark web y que se puede personalizar por lo que acabó afectando a una gran cantidad de empresas. Lo que hace es atacar una serie de ficheros más importantes y los otros los deja sin cifrar, por lo que puede permanecer relativamente en funcionamiento el sistema.