Ésa es la suma que cobraron los cibercriminales a víctimas alrededor del mundo. Este ataque consiste en el robo de contraseñas para el acceso remoto a los dispositivos (a través del acceso a credenciales RDP) y de ese modo secuestrar la información.
SamSam es un ransomware que, tal como todos los malware que entran en esta clasificación, una vez que ingresa en el sistema secuestra los archivos y los cifra. De ese modo, los vuelven inaccesible para el usuario a quien se le pide que pague un rescate para volver a ingresar a ellos.
Por medio de este ransomware los ciberdelincuentes ya llegaron recaudar casi USD 6 millones, según una información publicada por Sophos. La novedad, afirman los investigadores, es que se conocieron más detalles respecto de la operatoria de este malware que viene circulando desde 2015.
A diferencia de otros ransomware que se lanzan de manera masiva, éste tiene objetivos específicos. Se trata de ataques dirigidos a entidades o individuos, que pueden tener efectos devastadores.
Cómo son los ataques
"El atacante obtiene acceso a la red de la víctima a través de RDP (siglas en inglés para Protocolo de Acceso remoto a Desktop) utilizando software como NLBrute para adivinar contraseñas débiles", se destaca en el comunicado de Sophos.
El RDP es un protocolo que permite acceder a una computadora conectada de manera remota. Por medio de esta opción se puede mover el mouse, ver la pantalla del dispositivo y básicamente hacer lo que se desee en ese equipo, desde la distancia.
"Es un ataque de fuerza bruta, que consiste mucha veces en un robot que intenta varias veces hasta conseguir la clave", explica a Infobae el ingeniero Pablo Rodríguez Romeo, especialista en seguridad, perito y socio del Estudio CySI de Informática Forense.
El ciberatacante obtiene el password, ya sea por medio de programas como NLBrute o simplemente adivinando haciendo trabajo de inteligencia. Esto implica el rastreo de publicaciones en las redes sociales y cualquier otra fuente de información para obtener indicios de cuál podría ser la clave del usuario que se quiere afectar.
Un vez que el atacante tiene la contraseña, inician sesión y emplea varias herramientas para escalar sus privilegios hasta el nivel de administrador de dominio.
Luego revisa la red, identifica objetivos valiosos y lanza el malware de manera dirigida. Luego se contactan con la víctima para pedirle que hagan un pago en alguna criptomoneda y siguiendo pasos de modo tal que no queden rastros.
A su vez, es posible que el ciberdelincuente genere varias cuentas de administrador. De ese modo, aunque se identifique el problema y se cambie la contraseña, el hacker se asegura de tener varias cuentas de backup para volver a ingresar en el sistema.
Como se ve, a diferencia de lo que ocurre con WannaCry, que se comporta como un gusano porque se propaga en la red de manera automática, sin objetivos específicos, acá hay un trabajo humano que es protagónico.
Se hace inteligencia, se eligen targets y se ejecuta el malware de manera manual. Y recién una vez que se llegó al objetivo en cuestión, se generan varias copias del ransomware que se propagan en cuestión de segundos.
Los horarios y las regiones
De acuerdo con los datos reportados, la mayoría de las víctimas están en Estados Unidos y el Reino Unido pero no se descarta que se extienda a países de América Latina.
Por otra parte, los ataques iniciales se suelen orquestar de noche cuando se supone que las víctimas están dormidas y menos alerta para detectar estas intrusiones.
Qué hacer
Desde Sophos sugieren mantener el sistema actualizado, utilizar contraseñas robustas y cambiarlas con frecuencia.
También recomiendan que se hagan pruebas de penetración y se revise la red con frecuencia para buscar posibles amenazas.
Por otra parte, es conveniente restringir el acceso RDP a los integrantes de la empresa o entidad que se conectan por VPN. Y recomiendan usar autenticación multifactor para este tipo de accesos.
En este sentido, desde Fortinet destacan en un comunicado que para limitar la proliferación de estas amenazas, las organizaciones deben emplear técnicas de gestión de acceso que incluyan "una segmentación segura de la red para aislar dispositivos y datos y así garantizar que incluso aquellos que tienen acceso privilegiado a la red más amplia no puedan ver ni poner en peligro los dispositivos".
Por último, se sugiere hacer backup frecuente tanto online como offline. La frecuencia es fundamental porque, de ese modo, se puede recuperar la información en caso de que el sistema haya sido comprometido.
MÁS SOBRE ESTE TEMA:
Cómo prevenir un ciberataque: 50 mil millones de riesgos y engaños en solo 82 segundos
Últimas Noticias
Gustavo Petro insistió en que “hay una bomba lanzada desde un avión en la frontera con Ecuador”: “Nuestra guerra ha sido interna”
El mandatario aseguró que su Gobierno tiene pruebas de un ataque con bomba y demanda una investigación para aclarar los hechos, pese a las aclaraciones que hizo su homólogo ecuatoriano, Daniel Noboa
EN VIVO Millonarios vs. Atlético Nacional, minuto a minuto en El Campín por Liga BetPlay: el verde va perdiendo y con Tesillo expulsado
El clásico del fútbol profesional colombiano se vuelve a reeditar por el campeonato local, con los antioqueños líderes y los embajadores necesitados por ganar
PlayStation Portal se renueva: descubre todas las novedades de su última actualización
La principal novedad anunciada por Sony es la incorporación del modo 1080p High Quality
¿Qué pasó con Denisse Miralles? Las razones de su salida del Gabinete a un día del voto de confianza
De una agenda oficial activa a una renuncia irrevocable en cuestión de horas. La economista formalizó su salida en una carta en la que confirmó que su dimisión fue solicitada por el propio José María Balcázar
Amaranta Hank se despachó contra ‘La casa de los famosos Colombia’ por retos humillantes contra Mariana Zapata: “Está muy lejos de ser chistoso”
La escritora y senadora electa soltó duras críticas al “reality show” por los castigos que recibió la participante
