in

NetWalker cómo funciona y cuál es la historia detrás de este tipo de ataques

El ataque de ransomware dirigido a la Dirección Nacional de Migraciones (DNM), vuelve a ser noticia, dado que se pudo confirmar que se trataba de NetWalker. Los ciberdelincuentes exigen el pago de un millonario rescate ante la amenaza de publicar la información de la dependencia del Ministerio del Interior.

Según informes del sector, el número de empresas que se transforman en blanco de ciberataques se multiplicó en el último período, lo cual se refleja en pérdidas económicas y comerciales.

El ransomware es una forma de ciberdelito, considerado un método de ataque cada vez más común entre los piratas informáticos, utilizado para extorsionar a individuos, empresas y gobiernos por igual.

Si bien los primeros incidentes de ransomware se descubrieron en 2005, los últimos tres años han visto cómo este tipo de amenaza compromete a millones de computadoras y dispositivos móviles en todo el mundo.

Ante los cambios en el escenario mundial, los hackers últimamente han refinado sus acciones delictivas, explotando una de las preocupaciones más grandes de nuestra era: la pandemia producida por el Covid-19.

Es aquí donde surgen todos los interrogantes: ¿Quién es?, ¿Qué hace?, ¿Quién está detrás de esta arriesgada operación? y ¿Cómo podemos protegernos para no ser víctima de él?.

El código utilizado por los ciberdelincuentes en el ataque de la DNM fue el Netwalker, nombre de un software malicioso (malware) que encripta los archivos, quitándole al usuario el control de la información y los datos almacenados, bloqueando el sistema operativo. Luego, el atacante se dará a conocer con una demanda de rescate «oficial», a través de una ventana emergente, exigiendo el pago para recuperar el acceso al dispositivo o recibir la clave de descifrado de los archivos cautivos. Habitualmente, el pago se efectúa a través de una moneda virtual (bitcoins y criptomonedas), ya que éstas son difíciles de rastrear.

Si bien Netwalker está dando vueltas desde septiembre de 2019, recién a partir de marzo 2020 es tenido en cuenta como una amenaza real. Se calcula que, a través de los usuarios afectados por NetWalker, los hackers lograron introducirlo en las redes antes del mes de abril.

En junio de este año, los ciberdelincuentes pidieron a la Universidad de California un rescate de 3 millones, negociando finalmente 1.14 millones de dólares.

En tanto, el 28 de Julio, el FBI emitía un alerta en Ciberseguridad detallando el funcionamiento de Netwalker.

Sus principales blancos fueron organizaciones de salud, de educación, gubernamentales y organizaciones privadas.

La información recabada por los especialistas en ciberseguridad indica que los creadores pertenecen a un grupo de hackers rusos llamados Circus Spider. El grupo publica en la DarkWeb a los interesados en utilizar dicho servicio, teniendo que asociarse para poder distribuir el código. Los afiliados tienen prohibido efectuar ataques en contra de organizaciones rusas o de países miembro de la Comunidad de Estados Independientes. Además, se encuentra estipulado la obligatoriedad de devolver la información una vez recibido el pago, aunque no ofrece ninguna garantía de que esto ocurra.

Cómo funciona

En sus comienzos, los asociados distribuían correos electrónicos que contenían un link dirigido al Ransomware. De esta forma, infectaron no solo la computadora utilizada para leer ese correo, sino que se expandía por toda la red Windows a la que estaba conectada, convirtiendo a cualquier usuario en una posible víctima.

Sin embargo, a partir de marzo de este año, Netwalker cambió su enfoque reclutando atacantes con mayor conocimiento y experiencia en las redes, seleccionando víctimas como organizaciones de salud, hospitales, agencias gubernamentales, y grandes organizaciones privadas.

De este modo, los ciberdelincuentes tienen acceso a toda la información importante y sensible de las víctimas, que es utilizada para chantajear exigiendo un pago por no difundir la misma en Internet, como también la devolución de la misma, dado que, al estar encriptada, no hay posibilidad de tener acceso a dicha información.

Principales vulnerabilidades que utilizan para efectuar la intrusión a las redes:

  • El uso de contraseñas débiles en usuarios que trabajan con escritorios remotos.
  • La utilización de accesos VPN no actualizados.

Con respecto al ataque a entidades gubernamentales podemos hablar de dos incidentes registrados:

  • Mayo de 2020, ciudad de Weiz (Austria). Los atacantes ingresaron a la red de datos de la ciudad mediante la utilización de correos electrónicos haciendo referencia a información relevante sobre Covid-19.
  • Septiembre de 2020, en Argentina. El ataque dirigido a la base de datos de la Dirección Nacional de Migraciones, fue detectado por la Unidad Fiscal de Ciberdelincuencia. Se procedió a desconectar las redes y dejarlas offline, para impedir la propagación del virus. La caída de distintos servicios en los puestos fronterizos, el Aeropuerto Internacional de Ezeiza y la Terminal de Buquebus ocasionaron una interrupción del sistema, que impidió el ingreso y egreso de las personas al país durante cuatro horas.

Claves para prevenir este tipo de ataques

  • Implementar como procedimiento estándar el cambio rutinario de contraseñas de acceso a las redes. Esta acción deja sin efecto los accesos que podrían haber utilizado en su momento los ciberdelincuentes.
  • Incorporar servicios de MFA (autenticación multifactor) que permiten asegurar los accesos a la red aunque se haya comprometido el usuario y la contraseña.
  • Establecer una estrategia de aplicación de actualizaciones.
  • Establecer una estrategia de backups eficiente.
  • Implementar un firewall de borde de última generación con capacidad de análisis de contenido, que permita ejecutar, al mismo tiempo, servicios de antivirus, antimalware, detección de intrusión, control y detección de aplicaciones, análisis de la red, geolocación, control de los accesos remotos y control de los servicios como DNS.
  • Tener una gran visibilidad de lo que ocurre en el firewall y la red, dada la cantidad de servicios y posibles amenazas que hoy en día están siendo detectadas sería imposible verificar su estado sin una herramienta de fácil uso y operación.
  • Es muy importante mantener actualizados los sistemas operativos y software instalados, como así también el control de los softwares instalados en los equipos conectados en la red.
  • Por último, cuando todo lo anterior no sea realmente suficiente, tener la posibilidad de poder volver a un punto de backup seguro y confiable de forma casi inmediata.

Como con cualquier industria de mucho dinero, el ransomware continuará evolucionando para maximizar las ganancias, a la vez que los hackers aprovechan cualquier oportunidad para invadir la privacidad, dejando expuesto miles de datos sensibles.

Respecto al uso de plataformas de e-commerce, el FBI emitió una advertencia en el mes de junio, sobre un aumento en las aplicaciones de banca maliciosa. También proporcionó consejos sobre cómo evitar estas vulnerabilidades, con solo descargar una aplicación de la tienda de aplicaciones oficial del teléfono o del sitio web bancario.

Con respecto a los pagos a través de plataformas electrónicas, se recomienda hacerlo directamente en el sitio web del comercio o comunicarse con la institución financiera. De esta manera se desalienta a los atacantes a no continuar con esta modalidad delictiva.

Otras industrias están siendo atacadas, como la del Entretenimiento y Espectáculo, que en el mes de junio registró un ataque al bufete de abogados que representa a personalidades de la música y estrellas de Hollywood, incluyendo al Presidente de los Estados Unidos.

Acer actualiza sus Notebooks Predator Helios, Predator Triton y Nitro Gaming

Tripp Lite presenta soluciones para gamers