Según la última información de BlueVoyant acerca de amenazas, el ransomware presenta un inquietante aumento en América Latina. En los últimos meses se han registrado tres ataques exitosos contra importantes instituciones latinoamericanas: el Gobierno de Costa Rica (que afectó a múltiples organismos), la Secretaría de Estado de Finanzas de Río de Janeiro y la Agencia de Inteligencia de Perú. Los ataques siguen teniendo efectos de gran alcance.
A mediados de mayo, los atacantes enviaron un mensaje amenazante al Gobierno de Perú, informando que el grupo no liberaría los archivos a menos que se pagara un rescate.
El 8 de mayo, debido al ataque de ransomware, el Gobierno de Costa Rica declaró el estado de emergencia.
Las agresiones a Costa Rica y Perú son atribuibles a Conti, una de las operaciones de ransomware más prolíficas y destructivas. La banda operaba desde 2017 y fue objeto de filtraciones después de declarar su apoyo a la invasión de Ucrania por parte de Rusia. Conti rápidamente reemplazó ese mensaje con uno más suave. Estas filtraciones no parecen haber afectado la capacidad operativa del grupo.
En ese sentido, BlueVoyant analizó recientemente las filtraciones de Conti y publicó un informe exhaustivo.
Debido a la aparente falta de cooperación del Gobierno costarricense para pagar el rescate, Conti amenazó con atacar a otras organizaciones de este país. En los mensajes, la banda hizo referencias indirectas a Estados Unidos, pero no quedó claro si se dirigía al Gobierno estadounidense o a alguna empresa privada de origen norteamericano.
Por otra parte, aunque parece que Conti no encriptó las redes de la Agencia de Inteligencia peruana, afirmó haber exfiltrado grandes cantidades de datos. También emitió el típico (e irrisorio) descargo de responsabilidad en el que aclaraba que no tenía fines políticos sino financieros, según la investigación de amenazas de BlueVoyant.
Si bien la banda de ransomware Conti se disolvió a finales de mayo, los problemas cibernéticos de Costa Rica no desaparecieron.
La agencia de salud pública de ese país fue atacada con éxito por la banda de ransomware Hive tan solo una semana después y demostró que, independientemente del adversario, incluso las redes latinoamericanas más críticas se enfrentan a un constante bombardeo de ciberataques, especialmente cuando la actividad de ransomware parece estar en relativo descenso en Estados Unidos y Europa.
El ataque brasileño parece estar vinculado a otro grupo de ransomware llamado Lockbit.
Para protegerse contra el ransomware, las organizaciones de América Latina y de todo el mundo deberían centrarse en mejorar su postura de ciberdefensa. Según la inteligencia de amenazas de BlueVoyant, una de las maneras de éxito de Conti y otros atacantes es a través de conexiones de redes públicas virtuales (VPN) comprometidas o mal configuradas. BlueVoyant ha observado que las credenciales de VPN latinoamericanas se comercializan entre los corredores de acceso inicial de ransomware.
Además, las organizaciones deberían llevar a cabo pruebas regulares de phishing y formación. Los delincuentes que extorsionan vía ransomware y otros grupos hacen un uso intensivo de esta táctica para engañar a los empleados para que hagan clic en enlaces o abran archivos adjuntos cargados de malware.
Las organizaciones también deberían añadir la autenticación multifactor (MFA) a las cuentas y recursos para dificultar el acceso de los delincuentes a las redes. La MFA requiere que los usuarios proporcionen dos o más factores de verificación para obtener acceso a una cuenta o recurso.
Otra medida eficaz es asegurarse de que los empleados sólo pueden acceder a los documentos y datos que necesitan, una práctica denominada principio de mínimo privilegio. Los empleados, los sistemas y otras cuentas solamente deben poder acceder a los dispositivos y documentos necesarios para realizar sus tareas. Esto minimiza el daño que se puede hacer si un sistema se ve comprometido.
Al final, tomar incluso algunas de estas precauciones hará que sea menos probable que las organizaciones se vean afectadas y puedan evitar el ransomware.
