Los ataques de ransomware por hackers patrocinados por el Estado no son nuevos, como se vio con WannaCry en 2017. Desde entonces, la línea entre operaciones estatales y delitos financieros se ha difuminado, con actores estatales utilizando ransomware y colaborando con ciberdelincuentes. Esta tendencia está en aumento, con diversas motivaciones observadas recientemente:
1) Ransomware para llenar las arcas del Estado
Los hackers gubernamentales utilizan el ransomware para financiar al Estado, como en el caso de Corea del Norte, que ha obtenido miles de millones atacando empresas de criptomonedas y bancos. En 2024, el grupo Moonstone Sleet, vinculado a Pyongyang, desplegó un ransomware personalizado llamado «FakePenny» en organizaciones aeroespaciales, sugiriendo objetivos de recopilación de inteligencia y monetización. Además, se sospecha que el grupo norcoreano Andariel ayudó al grupo de ransomware Play a comprometer redes.
2) Ganar dinero extra
Los grupos estatales también se involucran en el ransomware para que sus hackers ganen dinero extra. Un ejemplo es el grupo iraní Pioneer Kitten, que colaboró con afiliados de ransomware como NoEscape y Ransomhouse, proporcionando acceso a redes y colaborando en la extorsión.
3) Despistar a los investigadores
Los grupos APT patrocinados por Estados usan el ransomware para ocultar sus verdaderas intenciones. Por ejemplo, ChamelGang (China) ha utilizado el ransomware en campañas dirigidas a infraestructuras críticas, encubriendo actividades de ciberespionaje y destruyendo pruebas de robo de datos.
El uso de ransomware por grupos estatales les da una cobertura útil para confundir a los investigadores, al tiempo que aumenta los ingresos del Estado y motiva a los hackers. La atribución importa, pero las mejores prácticas de seguridad siguen siendo clave para mitigar el riesgo, independientemente del atacante. Comprender al adversario es esencial para gestionar la amenaza y seleccionar las medidas de seguridad adecuadas.
Dicho esto, si no conoce la identidad de su adversario, todavía hay formas de mitigar el impacto de sus ataques de ransomware. He aquí 10 pasos de buenas prácticas:
1) Afrontar la ingeniería social con programas actualizados de formación y concienciación en materia de seguridad
2) Asegurar que las cuentas están protegidas con contraseñas largas, seguras y únicas y autenticación multifactor (MFA)
3) Segmentar las redes para reducir el «área de explosión» de los ataques y limitar el movimiento lateral
4) Desplegar una supervisión continua (encpoint detection and response, o managed detection and response) para identificar comportamientos sospechosos en una fase temprana
5) Comprobar periódicamente la eficacia de los controles, políticas y procesos de seguridad para impulsar la mejora continua
6) Implantar herramientas avanzadas de gestión de vulnerabilidades y parches
7) Asegurar que todos los activos sensibles están protegidos por un software de seguridad multicapa de un proveedor de confianza, incluidos ordenadores de sobremesa, servidores y portátiles/dispositivos móviles
8) Invertir en inteligencia sobre amenazas de un socio de confianza
9) Realizar copias de seguridad periódicas de acuerdo con las mejores prácticas
10) Diseñar una estrategia eficaz de respuesta a incidentes y practicarla periódicamente
Según una estimación, la delincuencia organizada fue responsable del 60% de las filtraciones de datos del año pasado, frente a sólo el 5% atribuido a los Estados nación. Pero este último porcentaje está creciendo, y las propias filtraciones podrían tener un impacto enorme en las organizaciones. La concienciación continua y la gestión proactiva del riesgo son esenciales.
Fuente: Welivesecurity
https://www.welivesecurity.com/es/ransomware/ransomware-grupos-apt-alineados-estados/
© 2022 - Todos los derechos reservados.