Como en muchos de los casos, son los atacantes quienes hacen público que lograron vulnerar una organización pública o privada para presionar para el pago del rescate como lo vimos en mi columna anterior. En dicha página, colocaron algunos documentos de pagos, contratos e incluso un oficio sobre un supuesto caso de acoso sexual dentro de las instalaciones de la Lotería Nacional.

Lotería Nacional ha negado todo, incluso poco se puede saber sobre el incidente más allá de que en la página principal aparece un mensaje de que se encuentran en mantenimiento.

Los ciberatacantes usan esta técnica para poder realizar una presión mediática y recibir el pago. En este caso, además de filtrar parte de los documentos que pudieron tener acceso, también amenazaban con realizar un ataque de “denegación de servicio distribuido” también conocido como DDoS por sus siglas en inglés (Distributed Denial of Service Attack). Este ataque DDoS significaría que quienes tengan interés de tener acceso al sitio público de la lotería nacional, no lo podrían hacer porque el ciberatacante estaría saturando el servicio, muy similar cuando un grupo de personas se colocan en la entrada de un edificio para evitar que los demás puedan entrar. Aunque haya una fila para poder entrar, muchos eventualmente se desesperarán y se irán.

Síguenos en Google Noticias para mantenerte siempre informado

Los ciberatacantes lo tienen muy medido, su objetivo principal es recibir el pago del rescate lo antes posible. Por lo mismo, amenazan con liberar más información si no se les paga antes de 10 días, incluso hay un contador de las horas y minutos para generar más presión.

Al pasar los días, los ciberatacantes de la Lotería Nacional, un grupo identificado como Avaddon, liberó cerca de 2.9 GB de información adicional que se podía descargar desde la página.

Hay muchos mitos que vale la pena explicar.

El ransomware afecta a todos los equipos de la organización afectada: FALSO. Es muy poco probable que se vean afectados todos los equipos dentro de la organización. Dependiendo del tipo y variante del ransomware, van a afectar servidores o equipos de cómputo. En otros casos, se ven afectados aquellos equipos que no cuentan con los controles o actualizaciones.

Sigue la información sobre los negocios y la actualidad en Forbes México

Tengo respaldos, por lo que no tendré problema de recuperarme: PARCIALMENTE CIERTO. Si bien, el tener respaldos nos permite regresar a un punto en el tiempo, muchas veces tener los respaldos en un equipo dentro de la infraestructura o en la nube, conectados todo el tiempo, puede ser que también se vean afectados y cifrados. En un caso que atendimos, los respaldos se encontraban en una máquina virtual que también se afectó. Pero también hay que recordar dos cosas, que un respaldo me permite regresar a un punto anterior y aún así perderé un poco de información, por ejemplo, a la semana pasada o a inicio de mes; y, por otro lado, se tiene un tiempo de poder recuperar toda la información. Para algunas organizaciones, puede ser crítico no operar durante una semana o más en lo que se regresa por medio de los respaldos.

Una vez que tengo afectación, reinicio los equipos (formateo) y puedo regresar a la operación: FALSO. Es muy importante el poder identificar cómo es que el ransomware entró a la organización, qué control no funcionó o qué control nos hace falta. El investigar cuál fue el paciente cero, permitirá asegurarlo, si no lo hacemos, en el momento en que regresemos a la operación, el camino de entrada seguirá ahí.

Es imposible protegerse de un ataque de ransomware: FALSO. Hay diferentes acciones que se pueden realizar para poder evitar una afectación: identificar los vectores de ataque para poder protegerlos (archivos adjuntos, accesos por escritorio remoto, carpetas compartidas, vulnerabilidades), entender cómo funciona el ransomware para implementar más controles, tener respaldos y procedimientos para recuperar la información, tener claro los tiempos de respuesta y tiempos de regreso a la operación, tener claro la posición del pago o no pago del rescate dentro de la organización entendiendo los riesgos que esto conlleva, el protocolo de comunicación a clientes o proveedores. No es algo sencillo, pero si alcanzable.

Sigue aquí el avance contra la pandemia en México y el mundo

Lo más importante es que la alta administración pueda entender el riesgo que se podría estar corriendo y entender que, aunque se tengan los controles, es posible que tengamos una afectación.

Avaddon es uno de los ransomware que más llamaron la atención del FBI en los Estados Unidos, no solo por que agrega la parte del DDoS como presión, sino que también es de las nuevas variantes que se ofrecen como “Ransomware-as-a-Service” para que un tercero pueda hacer uso de este código malicioso para afectar a una organización.

Esto llevó a que los creadores de Avaddon cerraran su “servicio” y liberaran las llaves de recuperación/rescate para que todos los afectados puedan recuperar la información, incluyendo a la Lotería Nacional.

Suscríbete a Forbes México

Contacto:

Correo: [email protected]
Linked In: https://www.linkedin.com/in/andresvelazquez/

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Tecnología 5G Realidad Virtual
El camino a la recuperación converge con la revolución tecnológica
Por

El mundo está empezando a despertar del letargo en el que nos sumió la pandemia.