En el dinámico panorama latinoamericano, esta amenaza ha demostrado ser una preocupación constante y una fuente de innumerables dolores de cabeza para organizaciones de todos los tamaños y sectores.

A medida que nos adentramos en un nuevo año, es crucial examinar detenidamente los acontecimientos y tendencias que definieron la evolución del ransomware en nuestra región durante el año pasado.

Desde los devastadores ataques que paralizaron infraestructuras críticas hasta las tácticas cada vez más sofisticadas utilizadas por los ciberdelincuentes, en este artículo nos proponemos explorar el estado actual del ransomware en Latinoamérica, y arrojar luz sobre lecciones aprendidas y desafíos actuales y futuros que enfrentará la región.

Incidentes más relevantes

Grupo GTD en Chile

El 23 de octubre, la empresa de servicios tecnológicos GTD fue víctima de un ataque ransomware que afectó su plataforma de Infraestructura como Servicio (IaaS), interrumpiendo los servicios de data center, telefonía, VPN y conexión a internet para más de 3000 clientes en Chile y en menor medida en Perú.

El ataque, llevado a cabo con el ransomware Rorschach (también conocido como BabLock), llevó a la empresa a suspender sus IaaS para revisar exhaustivamente sus sistemas y evitar la propagación del software malicioso. A pesar de los esfuerzos de restauración, más de 300 clientes seguían afectados en el momento de la publicación del artículo.

GTD
Anuncio del ciberataque por parte de la organización afectada, en X

La organización colaboró plenamente en la resolución del incidente, proporcionando datos conforme a una normativa chilena que exige la notificación de incidentes de seguridad informática en el Estado como respuesta a ataques anteriores a organismos estatales.

Comisión Nacional de Valores en Argentina

La Comisión Nacional de Valores (CNV) de Argentina sufrió un ataque de ransomware por parte del grupo Medusa, según confirmó un comunicado publicado el 11 de junio en el Portal del Estado Argentino. Este ataque resultó en el cifrado de archivos en los equipos afectados y en el robo de información. Aunque la CNV logró aislar y controlar el ataque, sus plataformas en línea quedaron fuera de servicio.

Medusa, conocido por dejar una nota de rescate bajo el nombre !!!READ_ME_MEDUSA!!!txt y cambiar la extensión de los archivos cifrados a .MEDUSA, ha afectado a empresas y organismos en todo el mundo en diversas industrias. En América Latina, además del ataque a la CNV, Medusa también ha sido responsable del ataque a la empresa Garbarino en Argentina, y ha mencionado el nombre de compañías en Bolivia, Brasil, Chile, Colombia y República Dominicana en su sitio web en la Dark Web.

Medusa
Publicación en el blog de Medusa, junto a la información robada de la CNV

Disrupciones de ALPHV/BlackCat y Hive

Si bien no son incidentes como tal, no podíamos dejar de mencionar la irrupción en operatoria de dos de las bandas de ransomware con mayor impacto dentro del continente.

En primer lugar, la fusión resultante entre ALPHV y BlackCat (posible sucesor de BlackMatter) se había convertido en un dolor de cabeza para las organizaciones latinoamericanas. Puntualmente, México se presenta como uno de los países más golpeados, con más de 1000 empresas afectadas de rubros como el gubernamental, farmaceutico, financiero y más.

Además, esta banda se caracterizaba por utilizar dos métodos de extorsión clave: la publicación de los documentos robados de manera gratuita, y los constantes ataques DDoS a cualquier sitio o servicio web de las víctimas.

Luego de su caída, el FBI lanzó un reporte en donde detalla indicadores de compromiso y más pormenores de la investigación.

En segundo lugar, la banda de ransomware Hive supo dar que hablar en Latinoamérica con casos de alto perfil, como el ataque al sector salud costarricense en 2022. Esta, luego de un trabajo complejo de infiltración de distintos cuerpos policiales alrededor del mundo que llevó al menos 7 meses, fue desbaratada en febrero del 2023. Además, se han entregado las llaves de descifrado a las víctimas.

Hive-europol
Comunicado de la Europol. Fuente

Tendencias emergentes

El ransomware año a año continúa siendo una amenaza en constante evolución. En el transcurso del año pasado, hemos sido testigos de la aparición de nuevas tácticas y tecnologías, así como el refuerzo de algunas surgidas en el último tiempo.

Entre estas, encontramos afianzada la estrategia de doble extorsión. En este método, además de cifrar los archivos de la víctima, los atacantes también amenazan con divulgar información confidencial si no se paga el rescate. Este enfoque doble no solo aumenta la presión sobre las organizaciones afectadas, sino que también amplifica el impacto y las consecuencias de los ataques: Información vulnerada de otras organizaciones o individuos, que usualmente resultan en otra batería de ciberataques.

Además, la prevalencia de dos métodos de infección inicial en los ataques con objetivos de alto perfil: La combinación con commodity malware, y la explotación de vulnerabilidades zero-day.

En cuanto al commodity malware, se trata de herramientas disponibles en repositorios públicos, o incluso en foros del mercado negro, que permiten a los atacantes infiltrarse en sistemas y desplegar ransomware de manera rápida y eficiente. La disponibilidad generalizada de este tipo de malware facilita que incluso actores menos sofisticados lleven a cabo ataques con consecuencias devastadoras.

Además, las vulnerabilidades siguen siendo explotadas en programas y sistemas operativos, tanto aquellas ya conocidas (como es el caso de aquellas relacionadas con el protocolo RDP, que tuvieron su pico de actividad en 2020) como las de día cero. Las piezas de software más atacadas, en este sentido, se ven centradas alrededor de la actividad corporativa: Herramientas de VPN, programas de administración comercial y de acceso remoto para soporte, software relacionado a la ofimática, y hasta navegadores.

Mirando hacia el futuro, es importante tener en cuenta la posible incorporación de tecnologías aún más avanzadas en los ataques de ransomware. La inteligencia artificial y el aprendizaje automático están siendo explorados por los ciberdelincuentes para automatizar y optimizar diversas fases del proceso de ataque.

Esto incluye la generación automática de código malicioso y la adaptación en tiempo real a las defensas implementadas por las organizaciones objetivo. La aparición de aplicaciones que pueden generar código automáticamente plantea una nueva y preocupante frontera en la guerra contra el ransomware, ya que los atacantes pueden aprovechar estas herramientas para desarrollar malware altamente personalizado y difícil de detectar.

Conclusiones

El ransomware continúa siendo una amenaza seria y en constante evolución en el panorama de la ciberseguridad en Latinoamérica. Y con ello, es evidente que las organizaciones en toda Latinoamérica enfrentan un desafío significativo para protegerse contra el ransomware y mitigar su impacto.

La adopción de medidas proactivas y la implementación de prácticas de seguridad robustas son esenciales para reducir la probabilidad de sufrir un ataque exitoso. Esto incluye la aplicación oportuna de parches de seguridad, la educación continua del personal sobre las mejores prácticas de seguridad, y la implementación de soluciones de respaldo y recuperación de datos efectivas.

Además, es crucial que los gobiernos en toda la región trabajen en colaboración con el sector privado y otros actores relevantes para abordar de manera efectiva el problema del ransomware. Estos avances ya son una realidad, con las inminentes actualizaciones de las leyes de protección de datos en ciertos países de la región, aunque todavía hay un largo camino por recorrer.

A medida que nos adentramos en un nuevo año, es fundamental que las organizaciones y los responsables de la formulación de políticas estén preparados para enfrentar los desafíos que presenta el ransomware en constante evolución.