Grupo GTD, destacada empresa de telecomunicaciones que opera en toda América Latina, fue víctima de un ciberataque el 23 de octubre de 2023. A través del CSIRT del Gobierno se ha informado que el ataque impactó la infraestructura y servicios (IaaS) de la empresa, lo que resultó en la interrupción de varios de sus servicios en línea, incluidos los servicios de telefonía IP, VPN y el sistema de televisión OTT, afectando alrededor de 3.500 organizaciones.
Este ataque se produce después de una serie de incidentes de ciberseguridad en Chile como el ataque al Servicio Nacional de Aduanas a mediados de octubre y la exposición de la información de 10 millones de chilenos en foros de hackers.
Actor involucrado
Después de una semana del ciberataque, el CSIRT del Gobierno y GTD no han oficializado el nombre del ransomware. Varias fuentes han indicado que una variante del ransomware Rorschach habría sido el causante.
También conocido como BabLock, Rorschach es relativamente nuevo y ha sido estudiado por Check Point Research en abril de 2023, luego de un ataque a una organización en EEUU.
El ransomware aprovecha las políticas de grupo de dominio (GPO) de Active Directory (AD) para propagarse rápidamente a través de la red a cada dispositivo disponible.
Los actores de amenazas explotan vulnerabilidades de descarga de bibliotecas de enlace dinámico (DLL) en software de seguridad legítimos, como Trend Micro, BitDefender y Cortex XDR, para lograr la carga de su propia DLL, con el fin de inyectar el ransomware en los dispositivos finales como si se tratara de un proceso válido del software de seguridad.
En particular, Palo Alto ya ha informado que tomará acciones frente a la versión 7.3.0.16740 de Cortex XDR que está siendo afectada con la vulnerabilidad.
Una vez que esta carga se ha ejecutado, el ransomware comienza a cifrar los archivos del dispositivo, lo que puede tener un impacto devastador en la integridad y la disponibilidad de los datos.
¿Cuales fueron las principales consecuencias de este ataque?
Rorschach ransomware es un cifrador relativamente nuevo, visto y analizado en profundidad en abril de este año. Se destaca por ser sofisticado y altamente veloz. En pruebas, demostró la capacidad de cifrar por completo un dispositivo en tan solo 4 minutos y 30 segundos, la mitad del tiempo en comparación con otros ransomware como Lockbit. Esto dificulta aún más la tarea de los equipos de respuesta ante incidentes para tomar acción frente al ataque.
Por otra parte, cuenta con protección antianálisis y un proceso de evasión para soluciones de seguridad. Según los analistas de Check Point, es extremadamente flexible, operando no solo en base a una configuración integrada, sino también en numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo con las necesidades del operador.
Cabe destacar que este ransomware no ha sido atribuido o tiene afiliación a ninguno de los grupos de ransomware conocidos.
Recomendaciones:
En la actualidad, el ransomware representa una amenaza latente que compromete la operación de organizaciones de todas las escalas. A pesar de los esfuerzos preventivos, los ataques eluden las barreras de defensa, generando pérdidas duraderas tanto en términos de infraestructura como de información vital. Tales incidentes repercuten directamente en la continuidad operativa de las entidades involucradas.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.
Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://www.csirt.gob.cl/noticias/10cnd23-00115-02/
https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/