Recientemente, la banda de Ransomware Groove publicó archivos que contenían credenciales para los enrutadores o VPNs de un proveedor conocido en su sitio DLS (Data Leak Site). Los mismos datos fueron publicados en un foro de la Deep Web que surgió hace un par de meses y que, posiblemente, está asociado con el grupo. Los archivos se publicaron en carpetas, divididas por número de puertos y regiones / IPS, lo que permitió que los expertos de Kaspersky analizaran el potencial de las víctimas en América Latina.
El breve análisis de los expertos de la compañía indica que empresas de 168 países han sido afectadas, y los segmentos potencialmente más impactados son los financieros, gubernamentales y académicos/universidades. Basado en los datos disponibles, existe un potencial de 451,609 víctimas de una o varias compañías. Teniendo en cuenta las direcciones IP, los cinco países más afectados en América Latina son México (34,985 (posibles víctimas), Brasil (29.2293), Colombia (28.116), Perú (12,146) y Venezuela (9.607).
El Equipo de Investigación y Análisis (GReAT) de Kaspersky también evaluó la infraestructura utilizada por los ciberdelincuentes detrás del ransomware Groove y reveló varias superposiciones de actividades que pueden ser asociadas a tres grupos diferentes de ransomware: Groove, Blackmatter y Babuk. “Esto ofrece una débil indicación que estos criminales pueden estar cooperando entre sí”, detalla Dmitry Bestuzhev, director de Equipo de Investigación y Análisis para América Latina en Kaspersky.
Para las empresas que utilizan VPNs u otro tipo de conexión remota, Kaspersky recomienda las siguientes prácticas de seguridad:
• Utilice la autenticación de doble factor para la VPN, como un certificado electrónico en un token y una contraseña. Este incidente demostró que el solo uso de una contraseña no es suficiente para garantizar una alta protección.
• Para las empresas que utilizan una VPN, es necesario mantener una política de actualización constante. Muchos ciberataques exploran vulnerabilidades en esta tecnología para lograr acceder a la red. Aplicando las actualizaciones y parches es la forma más sencilla de evitar un incidente de seguridad.
• Solo permitir accesos remotos (RDP) basados en direcciones IPs, evitando otorgar permisos generales, como por país. Inclusive, estos tipos de permisos genéricos deben ser bloqueados por defecto. Los accesos remotos también deben autenticarse en dos pasos, pues requerir solo una contraseña no es suficientemente seguro.
Realice un monitoreo constante de accesos. Las empresas deben monitorear los intentos de acceso remoto para identificar posibles actividades sospechosas. Esto le permitirá reaccionar rápidamente y evitar que un intento de ataque se desarrolle. Este monitoreo lo puede realizar el equipo de SOC o se puede subcontratar a una empresa que proporcione este servicio.