Más del 80% de los ataques de WastedLocker se produjeron en España

Tras el incidente sufrido por la empresa de dispositivos GPS Garmin, que se vio afectada por el ransomware WastedLocker el pasado mes de julio, los investigadores de Eset han revisado las últimas detecciones de esta amenaza para comprobar en qué países ha operado recientemente el grupo de delincuentes responsable de estos ataques. Su información concluye que en las últimas semanas más del 80% de los ataques de WastedLocker detectados por las soluciones de la compañía fueron realizados en España.

La elección de nuestro país como objetivo principal de este tipo de ataques puede ser debido a varios factores, entre los que se encuentran la fuerte apuesta generalizada por el teletrabajo debido a la pandemia provocada por el coronavirus, sin que fuera aparejada de la formación ni la adopción medidas de seguridad adecuadas.

Sus expertos también lo achacan a la popularización de las conexiones mediante Protocolo de Escritorio Remoto (RDP), sin monitorizar adecuadamente los accesos que se hacen a la red interna de las empresas.

El tercer factor es, a su juicio, un aumento considerable en los casos de robo de credenciales que, posteriormente, pueden ser utilizadas para acceder a la red corporativa, robar información y cifrarla con un ransomware como WastedLocker.

Estos datos solamente son representativos de aquellas estaciones de trabajo protegidas por soluciones de seguridad de ESET, pero sirven para recordar la importancia de adoptar ciertas medidas si queremos evitar incidentes como el sufrido por Garmin y otras empresas, teniendo en cuenta que la infección por ransomware es, muchas veces, la consecuencia final de una infiltración en la red corporativa realizada por delincuentes que saben muy bien lo que hacen.

Por ello, la firma ha hecho las siguientes recomendaciones:

- Gestionar de forma efectiva las credenciales y accesos remotos: las conexiones remotas a la red corporativa están en máximos debido a la imposición del teletrabajo por fuerza mayor. Lamentablemente, eso implica que los delincuentes lo tengan más fácil a la hora de encontrar redes internas accesibles fácilmente, ya sea mediante ataques de fuerza bruta o robando las credenciales de acceso a alguno de los empleados mediante ataques de phishing o herramientas de control remoto, entre otros.

- Administrar eficientemente los permisos de los usuarios: en demasiadas ocasiones los usuarios tienen más permisos de los estrictamente necesarios para realizar su trabajo y eso facilita la labor de los atacantes, ya que pueden instalar todo tipo de aplicaciones sin solicitar permisos adicionales. Lo ideal sería que esto estuviera limitado y solo los usuarios con los permisos adecuados y justificados pudieran instalar aplicaciones previamente aprobadas.

- Instalar soluciones endpoint: éstas deben contar con capacidad de detectar la actividad sospechosa relacionada con el ransomware (cifrado masivo de archivos, creación de notas de rescate…), complementadas por un sistema EDR que permita detectar actividades sospechosas, incluso aquellas que se realicen con herramientas legítimas del sistema.

- Implantar y configurar una solución de backup: de esta forma, en caso de ataque, se podrá restaurar rápidamente la información en los equipos afectados. Asimismo, es muy conveniente cifrar toda la información que sea catalogada como confidencial para evitar que sea usada por los delincuentes como chantaje en el caso de que consigan robarla.