El Departamento de Justicia de Estados Unidos anunció en la tarde de este jueves 26 de enero que ha desmantelado una red internacional de ‘ransomware’, la red Hive, que se dedicaba a extorsionar dinero a sus víctimas, más de 1.500, en más de 80 países de todo el mundo.
“Continuaremos trabajando tanto para prevenir estos ataques como para brindar apoyo a las víctimas que han sido atacadas. Y junto con nuestros socios internacionales, continuaremos trabajando para interrumpir las redes criminales que despliegan estos ataques”, indicó el fiscal general, Merrick Garland, en un comunicado.
Es importante citar que la red Hive, que ha recibido más 100 millones de dólares en pagos de rescate, robaba datos confidenciales de sus víctimas a través de un software malicioso y posteriormente pedía un rescate, tanto para la clave de descifrado como por la promesa de no publicar dicha información, según ha detallado el Departamento de Justicia.
“Nuestro equipo de investigación desmanteló Hive, descubrió sus claves de descifrado, se las pasó a las víctimas (más de 300) y, en última instancia, evitó más de 130 millones de dólares en pagos de ransomware”, ha indicado la fiscal general adjunta Lisa O. Monaco.
Las operaciones de ‘ramsomware’, o secuestro de datos en internet, afectaron la respuesta de la covid-19. En concreto, un hospital atacado por Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes.
La investigación ha sido llevada a cabo por el FBI en coordinación con distintos cuerpos policiales a lo largo y ancho del mundo, como la Policía Nacional española, la sueca, la británica, la rumana, la portuguesa, la canadiense, la francesa, entre otras.
Tres consejos para evitar ser víctima del secuestro de datos
Prevenir, mejor que defenderse
Estar preparado ante un ciberataque implica contar con un sistema de varias capas que permita identificar y rastrear amenazas o debilidades de seguridad antes de un evento o ataque.
“Un antivirus es la última línea de defensa. Realmente se necesita trabajar en un modelo de amenazas donde se incluya cómo los criminales cibernéticos pueden penetrar la red y las herramientas que utilizan. Por ejemplo, las redes de VPN muchas veces se descuidan”, explica Bestuzhev.
Si el atacante logra entrar a alguna de las redes, es necesario contar con mecanismos que permitan detectar esa actividad maliciosa. “En esta etapa ni siquiera hemos llegado a hablar de malware, sino solo de detección de desconocidos explorando en nuestra red”, agrega. En la última capa es cuando ya se utilizan mecanismos de endpoint.
Como parte de esa preparación, es importante tener claro el accionar de los equipos en caso de que un ataque ocurra. Para eso, explica Bestuzhev, es necesario diseñar PlayBooks con guiones o protocolos que tengan respuestas a cada modalidad de ransomware.
“Hay quienes usan personas infiltradas que trabajan dentro de la compañía, otros buscan vulnerar los servidores VPN o los escritorios de acceso remoto y hay quienes usan los proveedores para lograr vulnerar a la empresa víctima, por eso es importante contemplar planes de acción ante cada modalidad”.
Actuar durante el ataque
Una vez confirmado el ataque, es necesario llevar a cabo dos acciones en paralelo: por un lado, el denominado Threat Hunting, que es la cacería y rastreo del ataque, siempre conservando las evidencias; segundo, la recuperación de los datos. Para esto último es importante contar con respaldos de información.
Contar con un aliado adecuado
Tener las herramientas adecuadas será clavé para defenderse de un ataque de este tipo. Bestuzhev, por ejemplo, destaca a Kaspersky Endpoint Detection and Response como una solución completa para detectar y rastrear todo el antes y durante del ataque.
“También ofrecemos servicios de Threat Hunting para encontrar la amenaza rápidamente y capacitaciones sobre ciberseguridad, desde temas de concientización para todo el talento de la compañía hasta elementos mucho más técnicos para el equipo de ciberseguridad”.
*Contenido elaborado con apoyo de Kaspersky y con información de Europa Press.