 |
|
|
Garmin, la popular compañía de tecnología de fitness y GPS, fue víctima de un ataque de cripto ransomware que interrumpió sus servicios durante tres días, mientras que su red interna y sus sistemas de producción fueron cifrados y retenidos por un rescate de US$10 millones. Este ha sido el más reciente incidente en un número creciente de ataques de ransomware contra grandes organizaciones.
En un comunicado oficial, Garmin confirmó que fue víctima del troyano WastedLocker, un ransomware que se ha vuelto notablemente más activo desde la primera mitad de este año. Esta versión en particular fue diseñada para apuntar específicamente a Garmin y contiene varios aspectos técnicos inusuales.
El primero de estos es su técnica para burlar el control de acceso de usuario (UAC). Una vez lanzado en un dispositivo comprometido, el troyano verifica si tiene privilegios lo suficientemente fuertes para ejecutarse. De lo contrario, intentará elevar sigilosamente sus privilegios, engañando al sistema usando binarios legítimos para iniciar el código del troyano, oculto en una secuencia ADS (Alternate Data Stream), nativa de sistemas NTFS. De esa forma, el troyano se podrá ejecutar e iniciar la infección en sistemas configurados con cuentas de usuario limitadas.
Adicionalmente, la muestra analizada de WastedLocker utilizó una sola llave pública RSA, la que es utilizada para cifrar archivos. Esto sería una debilidad si el malware se distribuyera de forma masiva, pues el descifrador solo tendría que usar una sola llave de RSA privada para desbloquear todos los archivos afectados. Sin embargo, en un ataque dirigido, como claramente fue el caso de este ataque, el uso de una sola llave RSA es una táctica eficaz.
“Este incidente destaca que hay una tendencia creciente de ataques de ransomware dirigidos contra grandes corporaciones, algo que contrasta con las campañas de ransomware más extendidas y populares del pasado, como WannaCry y NotPetya. Si bien hay menos víctimas, la mayoría de estos ataques dirigidos están siendo desarrollados para realizar doble extorsión. Esto ocurre cuando el cibercriminal cobra rescate por los datos y, en caso de que la empresa no acepte pagar, amenaza con publicar los datos en Internet, lo que generará multas para la empresa victima según las leyes de protección de datos vigentes”, comenta Fabio Assolini, Analista Senior de seguridad en Kaspersky. “Y esta tendencia solo crecerá en el futuro. Aunque no observamos este comportamiento en WastedLocker, muchas otras familias de ransomware adoptan esta práctica. Por lo tanto, es fundamental que las organizaciones permanezcan alertas y tomen medidas de prevención”.
Para evitar ser víctima de WastedLocker y otros ransomware, desde Kaspersky recomiendan:
1. Usar versiones actualizadas, tanto de su sistema operativo como de software.
2. Utilizar una VPN para asegurar el acceso remoto a los recursos de la empresa.
3. Adoptar una solución de seguridad de calidad, con soporte de detección de comportamiento sospechoso, motor de corrección que permite la reversión automática de archivos, y una serie de tecnologías de protección contra el ransomware.
4. Invertir en la capacitación de los empleados. Programas como Kaspersky Security Awareness ofrece herramientas de capacitación que combinan la experiencia en ciberseguridad con las mejores prácticas y tecnologías educativas.
5. Emplear una solución confiable para el respaldo de datos.
|
