El grupo cibercriminal ruso, que sigue afectando los sistemas y plataformas de entidades públicas en Costa Rica y Perú, parece decidido a no retroceder en sus ambiciones por secuestrar información y presionar por millonarios pagos. Todo esto en un contexto donde el ransomware ha tenido un aumento interanual del 14% en lo que va de 2022.
Aunque la ciberseguridad es una materia de permanente preocupación y estado de alerta, cada cierto tiempo esta sensibilidad se eleva aún más. Por estos días vivimos un escenario como este, propiciado principalmente por los ataques de Conti, el grupo cibercriminal ruso que con su ransomware ha puesto en serios aprietos a Costa Rica.
Tras el primer gran ataque en abril, esta semana se dio a conocer un nuevo golpe, esta vez a los sistemas de la Caja Costarricense del Seguro Social (CCSS), que le ha obligado a desactivar sus plataformas de manera preventiva, incluyendo data sensible como el expediente electrónico de pacientes que utilizan los centros de salud públicos del país.
La CCSS, entidad que tiene a su cargo todos los centros de salud públicos del país, informó que no se han visto comprometidas las plataformas de Expediente Digital Único en Salud (EDUS), ni las relacionadas a planillas y pensiones.
Esta es una muestra más del escalamiento que ha tenido el caso de Conti en América Latina, grupo que incluso amenazó con derrocar al gobierno recién elegido de Costa Rica con un ataque cibernético y que aumentó su demanda de rescate a US$ 20 millones para obtener una clave de descifrado para desbloquear los sistemas pirateados.
De acuerdo a un análisis de la compañía de ciberseguridad Check Point, este evento probablemente comenzó como un evento táctico de ataque regular de ransomware, pero rápidamente se convirtió en una variante que tiene importantes consecuencias.
“Este hecho muestra el creciente poder de los grupos organizados de ciberdelincuencia y este grupo, en particular, ha dejado claro que la extorsión de un país es posible y que puede ser un actor en un área geopolítica”, comenta Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica.
Perú es otra víctima de extorsión por parte del grupo Conti. La etapa pública del ataque de extorsión contra Perú comenzó el 7 de mayo y actualmente se centra en dos entidades gubernamentales clave: el Ministerio de Hacienda y la Dirección General de Inteligencia. La extorsión contra Perú es un evento en desarrollo, y actualmente se encuentra en etapas mucho más iniciales que el evento contra Costa Rica.
Panorama global: ransomware al por mayor
Los ejecutivos de Check Point son enfáticos en resaltar el aumento de los ataques de ransomware, que están presionando incluso a niveles de la doble y triple extorsión, es decir, aquella que además de cifrar los datos y exigir un pago para devolverlos, amenaza con publicar la información extraída para luego incluso focalizarse en el usuario final, presionando a alguna persona involucrada en los datos sensibles robados para concretar el pago.
Considerando el panorama para el resto de los países y las tendencias generales, Botter comenta: “Las perspectivas a futuro no son buenas, dado el incremento de las plataformas de ransomware como servicio (RaaS), el surgimiento de nuevos grupos atacantes y la constante evolución de las amenazas”.
Lo cierto es que lo ocasionado por Conti no es un hecho aislado o del todo sorprendente. En los últimos cinco años, las operaciones de ransomware han recorrido un largo camino desde correos electrónicos aleatorios de rociado y oración hasta empresas multimillonarias, realizando ataques dirigidos y operados por personas que afectan a las organizaciones en casi cualquier ubicación geográfica y dentro de cualquier industria.
Un reciente reporte de Check Point reveló un aumento interanual del 14% en lo que va de 2022 en los ataques de ransomware a nivel global, con 1 de cada 60 organizaciones afectadas por este malware semanalmente, y gravemente impactadas económicamente, ya que el costo de este ataque es siete veces más alto que el rescate pagado.
En particular en América Latina, el Threat Intelligence Report de Check Point Software desveló que una organización en nuestra región está siendo atacada (por amenazas en general) un promedio de 1.586 veces por semana en los últimos seis meses, en comparación con 1.116 ataques por organización a nivel mundial.
Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde documentos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores de Check Point Research (CPR) creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas de energía, principalmente. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.
Por eso, pensando en la contención de este tipo de amenazas y para evitar ser una próxima víctima de estos ataques, Botter considera relevante trabajar en la concientización de los usuarios, focalizarse en tecnologías de prevención, capaces de advertir ante malwares conocidos y desconocidos, y reducir la superficie de ataque, actualizando los sistemas operativos.
