El Ransomware causa estragos en El Sur, Genera $ 1 millón para los Piratas Informáticos
Las ciudades de los estados del sur han quedado paralizadas por el ransomware en las últimas semanas. En muchos casos, los líderes de la ciudad no han tenido más remedio que ceder a las demandas de los atacantes.
En este artículo, vamos a ver cómo funcionan estos ataques y el daño que han causado a los municipios locales.
Ataque de ransomware Riviera Beach
En mayo de 2019, los sistemas informáticos de Riviera Beach, Florida, se detuvieron después de que un empleado del departamento de policía abrió un archivo adjunto de correo electrónico infectado. El ransomware desconectó los sistemas de correo electrónico y teléfono de la ciudad y desactivó los servicios de pago de servicios públicos.
Finalmente, la ciudad cedió a las demandas de los piratas informáticos y votó para pagar a los delincuentes casi $ 600,000 para recuperar el acceso a sus datos. Si bien no podemos decir con certeza qué ransomware fue el culpable de este ataque, los expertos creen que es probable que haya sido Ryuk, una cepa de ransomware que se vio por primera vez en agosto de 2018.
Ataque de ransomware Lake City
Un par de semanas después, otra ciudad de Florida se encontró en una situación similar. El 10 de junio, un empleado del gobierno de Lake City abrió involuntariamente un correo electrónico malicioso, lo que provocó una interrupción generalizada en las comunicaciones gubernamentales y los servicios de pago en línea. Una vez más, los líderes de la ciudad acordaron pagar el rescate a los piratas informáticos, esta vez, $ 460,000.
Ataque de ransomware Key Biscayne
Poco después del incidente de Lake City, otro pueblo de Florida, Key Biscayne, fue golpeado por un ataque cibernético. Las autoridades dijeron que sus sistemas estaban funcionando nuevamente en unos pocos días, pero se negaron a comentar si se trataba de un pago de rescate.
Ataque de ransomware Collierville
El 18 de julio, la ciudad de Collierville, Tennessee, fue golpeada por Ryuk. El ransomware afectó principalmente a los empleados de la ciudad, y muchos servicios de la ciudad se vieron obligados a recurrir a sistemas fuera de línea durante varios días. Siguiendo las recomendaciones del FBI, la ciudad no se comunicó ni negoció con los piratas informáticos. Un portavoz dijo que puede llevar semanas volver a la normalidad de los sistemas.
Ataque de ransomware de Louisiana
A fines de julio, el ransomware derribó las redes de TI en tres distritos escolares de Louisiana: Sabine, Morehouse y Ouachita. En respuesta, el gobernador de Luisiana, John Bel Edwards, declaró el estado de emergencia, lo que significa que los recursos estatales estarán disponibles para ayudar a resolver la crisis y reducir el riesgo de una mayor pérdida de datos.
Ataque de ransomware del Departamento de Seguridad Pública de Georgia
El 26 de julio, una infección de ransomware en el Departamento de Seguridad Pública de Georgia (DPS) afectó a varios departamentos de policía, incluida la patrulla estatal, la policía del capitolio y la División de Cumplimiento de Autotransportes de Georgia. La infección causó que las computadoras portátiles de los autos de la policía perdieran la conectividad con los servidores DPS, dejando a los oficiales de policía incapaces de acceder a información crucial. Los oficiales han recurrido al uso de canales de comunicación más antiguos mientras se restauran los sistemas.
Según David Allen, director de seguridad de la información de DPS, el pago no es una opción.
"No es parte de nuestra política pagar el rescate", dice Allen, según lo citado por GovTech. "Honestamente, ni siquiera miro los archivos que dejan sobre cómo contactarlos. No estoy de acuerdo con que sea más rentable pagar [rescate] porque incluso si lo pagas y descifras parte de tu sistema, no siempre sucede de manera limpia ".
Ataques de ransomware de Texas
Es muy raro que los grupos de ransomware ataquen múltiples municipios simultáneamente, pero eso es exactamente lo que sucedió a mediados de agosto cuando los cibercriminales lanzaron una campaña coordinada en Texas.
Veintidós pueblos y ciudades en todo Texas fueron afectados en el ataque, incluidos Borger y Keene; las entidades restantes aún no se han nombrado. Algunas fuentes han informado que una vez más se utilizó Ryuk en los ataques, mientras que otros sugirieron que se trataba de una variedad de ransomware conocida como Sodinokibi.
¿Cómo se infectan las ciudades con ransomware?
Los métodos de infección de ransomware pueden variar entre familias y campañas. Se cree que una cepa de ransomware conocida como Ryuk está detrás de muchos de los ataques recientes en el sur.
El análisis ha revelado que Ryuk se ha utilizado en combinación con otros tipos de malware para crear lo que algunos describen como una Triple Amenaza, un ataque sofisticado que adopta un enfoque triple para la infección y la ejecución.
Aquí hay una descripción general rápida de cómo se vería una campaña típica.
1. Emotet
Primero, los ciberdelincuentes distribuyen correos electrónicos no deseados a grandes empresas. Cuando un empleado desprevenido abre el archivo adjunto de correo electrónico malicioso, utiliza PowerShell para instalar Emotet. Emotet se ha utilizado tradicionalmente para robar credenciales bancarias, pero su arquitectura modular significa que también se puede usar como cuentagotas, un tipo de malware que ayuda a instalar otro malware.
Emotet ha resurgido recientemente después de permanecer inactivo desde principios de junio. Los expertos creen que los operadores probablemente estaban realizando mantenimiento en los servidores durante este tiempo.
2. TrickBot
A continuación, Emotet descarga y ejecuta el troyano TrickBot desde un host malicioso remoto preconfigurado. Al igual que Emotet, TrickBot es un troyano modular que generalmente se usa para robar credenciales bancarias, pero también es capaz de ejecutar otras tareas, como descargar / instalar otro malware. En este caso, se utiliza para desplegar Ryuk
TrickBot se propaga comúnmente explotando la vulnerabilidad EternalBlue, que supuestamente fue desarrollada originalmente por la Agencia de Seguridad Nacional de los EE. UU., Y desde entonces se ha utilizado en muchos ataques de ransomware importantes, incluidos WannaCry y Petya. Los ataques de Florida, sin embargo, fueron causados por un error del usuario y no involucraron la explotación de EternalBlue.
3 Ryuk
Después de que TrickBot se haya establecido y los atacantes hayan verificado que la máquina infectada es un objetivo atractivo, despliega el ransomware Ryuk. Una vez que Ryuk ha infectado la máquina, comienza a cifrar archivos.
¿Quién paga el rescate?
Si bien algunas entidades públicas tienen políticas estrictas de no pago, otras considerarán pagar a los piratas informáticos como una opción de último recurso. En algunos casos, las organizaciones no cuentan con una estrategia de recuperación sólida, lo que significa que la restauración del sistema es imposible o lleva demasiado tiempo. En otras situaciones, pagar el rescate puede ser simplemente más rentable que el costo del tiempo de inactividad del sistema.
En el ataque a Riviera Beach, la mayor parte del pago del rescate estaba cubierta por la póliza de seguro cibernético de la ciudad, lo que significaba que la ciudad "solo" tenía que pagar un deducible de $ 25,000. Fue una historia similar en Lake City, donde el seguro fue pagado por el seguro después de que la ciudad pagó un deducible de $ 10,000. Desafortunadamente, es probable que los contribuyentes absorban los costos de los deducibles cuando llegue el momento de que las ciudades renueven sus pólizas de seguro.
Los investigadores de Emsisoft han podido descifrar con éxito Ryuk en aproximadamente el 3-5 por ciento de los casos.
¿Por qué los estados del sur están siendo fuertemente atacados?
Los estados del sur han visto más que su parte justa de ataques de ransomware en las últimas semanas. La fuerza principal que impulsa esta tendencia es el hecho de que los ciberdelincuentes saben que algunos municipios de los estados del sur están dispuestos a pagar el rescate.
Al igual que cualquier otro negocio, las empresas criminales adoptan estrategias que han demostrado funcionar. Los grandes pagos realizados por Riviera Beach y Lake City pueden estar alentando ataques similares en otros municipios de la región.
Sin embargo, es importante recordar que los ataques de ransomware no se limitan a ninguna región en particular. Cada organización, independientemente de su ubicación, tamaño o ingresos, debe considerarse un objetivo potencial de ransomware.
Estos municipios del sur son las últimas víctimas en una larga serie de ataques de ransomware dirigidos a entidades públicas locales de EE. UU. Consulte esta publicación de blog para obtener más información sobre esta tendencia.
