Seguridad

Mapas y ransomware: REvil, Acer y algunas cosas más

El ransomware se ha convertido en un problema con entidad propia, y si no que pregunten a la compañía Taiwanesa Acer, una de las últimas empresas afectadas por el ransomware REvil, a la que han dado de plazo hasta el 28 de marzo para que pague un rescate cuya cifra asciende a 50 millones de dólares en Monero

Las imágenes mostradas por los cibercriminales el 19 de marzo incluían información financiera, aunque varias declaraciones de Acer indican que no tienen constancia de filtración de datos, sin llegar a descartar dicha posibilidad. Un artículo publicado en Bleeping Computer el 19 de marzo ya indicaba que al parecer REvil podría estar explotando vulnerabilidades recientes en Microsoft Exchange como vector de ataque, teoría que proviene de las declaraciones del CEO de Advanced Intelligence Vitali Kremez.

Acer no es ni será el último gigante en ser chantajeado por un grupo de cibercriminales tras una infección por ransomware. Y, dado que el malware se ha convertido en una palabra habitual para todos, hoy aprovechamos este post para hacer un recorrido sobre las herramientas de visualización de amenazas, para ver si están adaptándose para hacernos la vida más cómoda frente a este problema. 

Conocer no sólo los ataques entre países sino también cuántos incidentes corresponden a malware, entre éstos los casos de ransomware, y tal vez los vectores de ataque podría ser muy interesante de cara a comprender mejor el estado actual de un vistazo.

Hoy día son conocidos los mapas de visualización de amenazas en tiempo real. Casi todos se basan en un mapamundi sobre el cual se dibujan los ataques que se van detectando, empleando un código de colores que muestran, como mínimo, el tipo de ataque en base a alguna clasificación. Algunos permiten seleccionar países para observar las detecciones de forma mucho más específica. Ejemplos de mapas: TalosThreatbuttCheck Point SoftwareFortinetFireEyeKasperskyBitdefenderArborNetworksSpamhausSonicWall,Netscout y LookingGlass.

Instantánea tomada de Threatbutt

Inicialmente se centraron más en ataques sin considerar infecciones, aunque ya algunos establecen alguna categoría por la cual pueden obtenerse estadísticas sobre si el ataque involucra malware. De los anteriores, Bitdefender clasifica en tres tipos los ataques: ataque, infección y spam. Talos simplifica mostrando spam y malware. LookingGlass muestra en el mapamundi infecciones. 

Instantánea del mapa de amenazas LookingGlass

Sapmhaus ofrece un mapa centrado en actividad de botnets, destacando servidores de comando y control (C2, C&C) empleados por las botnetsTrendMicro ya ofrecía un mapa similar, aunque actualmente no está accesible. Esto es muy interesante, porque los servidores C2 son la vía habitual de comunicación entre los atacantes y su granja de equipos infectados. 

Mapa de actividad de botnets (Spamhaus)

¿Y para el ransomware? Ya hay mapas centrados en esta amenaza, aunque no son tan habituales. Tal vez el más conocido sea el mapa creado por Google, aunque sólo cubre casos en Estados Unidos. 

Ransomware War (Google)

Otras variantes del mapa anterior son Statescoop y K-12 Cyber Incident Map. Statescoop mapea casos de ransomware conocidos ofreciendo un resumen de la información sobre los incidentes, por ejemplo la cantidad demandada por los atacantes y si fue pagada o no. 

Instantánea del mapa de ataques por ransomware (Statescoop)

Cabe detacar que de los mapas generales, SonicWall ha incorporado nuevos resultados como parte de sus analíticas en los cuales se puede seleccionar diferentes características. Una de ella es el ransomware. 

Estadísticas sobre ransomware. Mapa de SonicWall

A modo de conclusión, no son muchos los mapas de amenazas que están actualizando sus visualizaciones para mostrar diferentes categorías o incidentes de malware. La operativa tampoco es fácil de dilucidar. El hecho es que los datos referentes a malware y operativa son valiosos activos para los informes anuales, allí podremos encontrar mucha información desglosada, aunque no útil de un vistazo, en un momento dado.

Comprender la operativa actual y relacionar a los diferentes actores es un aspecto crucial para comprender el contexto en el que nos encontramos. Las noticias actuales sobre malware y ransomware resultan en ocasiones muy abrumadoras (en especial cuando el nombre de una gran compañía aparece en portada), pero en la mayoría de los casos la operativa del malware se rige por principios similares (por ejemplo, explotar una vulnerabilidad crítica). La principal vía actual para mitigar estas amenazas es la concienciación y las medidas de prevención. Lo segundo tal vez no llegue sin lo primero, y lo primero será difícil de asumir sin medidas que permitan vincular de forma mucho más certera la operativa del malware desde un punto de vista más cercano a todos.

Más información:

REvil continues ransomware attack streak with takeover of laptop make Acer. Jonathan Greig. TechRepublic. https://www.techrepublic.com/article/revil-continues-ransomware-attack-streak-with-takeover-of-laptop-maker-acer/

Computer gigant Acer hit by $50 million ransomware attack. Lawrence Abrams, Bleeping Computer. 19 Marzo 2021. https://www.bleepingcomputer.com/news/security/computer-giant-acer-hit-by-50-million-ransomware-attack/

REvil Ransomware Targets Acer’s Microsoft Exchange Server: Source.The notorious REvil ransomware gang recently targeted a Microsoft Exchange server on Taiwanese PC giant Acer’s domain, according to Advanced Intelligence CEO Vitali Kremez. Michael Novinson, CNR, 19 Marzo 2021. https://www.crn.com/news/security/revil-ransomware-targets-acer-s-microsoft-exchange-server-source

A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All Time. Juliana De Groot. Digital Guardian, 1 Diciembre 2020. https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time

La entrada Mapas y ransomware: REvil, Acer y algunas cosas más se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.