El ransomware Avaddon ya acumula al menos cinco víctimas en América Latina, donde Perú, Brasil, Chile y Costa Rica fueron los países que recibieron mayores ataques, reveló ESET.
Este ransomware amenaza con filtrar información robada y realizar ataques de denegación de servicio en caso de no pagar el rescate.
Los ataques van dirigidos desde organismos gubernamentales hasta compañías de industrias como la salud o las telecomunicaciones.
En enero de 2021, la cantidad de compañías impactadas por Avaddon eran 23 y al menos cinco de sus víctimas son de América Latina.
La evolución del Ransomware
El ransomware tuvo un gran impacto durante el 2020 y se vio un incremento de este tipo de ataques y de nuevas familias con respecto a años previos, potenciado por el contexto de la pandemia.
Sgún el informe de Tendencias 2021 de ESET, el ransomware como amenaza ha evolucionado. Dando lugar a ataques más dirigidos, en los cuales se solicitan el pago de rescates cada vez más altos y se valen de mecanismos más sofisticados que les permiten una mejor planificación y aumento de su eficacia.
Las bandas de ransomware sumaron nuevos métodos en varias etapas de la amenaza, que van desde su creación y mutación para no ser detectados o los ataques de denegación de servicio (DDoS) como nueva modalidad extorsiva.
Uno de ellos y con mucha actividad en lo que va de 2021 es Avaddon: un ransomware as a service (RaaS) que fue reportado por primera vez en junio de 2020.
Si bien los blancos de ataque más comunes han sido pequeñas y medianas empresas de Europa y Estados Unidos, ahora los más afectados son los países.
Avaddon y sus métodos de extorsión
Algunos de los mecanismos de acceso inicial que estuvo utilizando Avaddon fueron correos de phishing con archivos adjuntos en formato ZIP que contienen un archivo javascript malicioso.
Estos correos incluían un mensaje en el cuerpo del correo que buscaban despertar la curiosidad del usuario, como una supuesta foto o similar.
Grupos como Avaddon puedan adaptar los mecanismos de infección según características del blanco elegido.
Desde el punto de vista de los atacantes, un aspecto clave del modelo de negocio es lograr convencer a las víctimas de que la solución para recuperar sus archivos es enviar el pago solicitado.
Esto obliga a los operadores detrás de distintas familias de ransomware (como Avaddon) a tomar acciones más agresivas que la de solo cifrar los archivos para presionar a las víctimas a que paguen el rescate.
Caso brasileño
Un ejemplo es el caso del ataque al sitio de la prefectura de un municipio ubicado en el Estado de Río de Janeiro, en Brasil, en el cual la víctima decidió no pagar a los criminales.
En retorno, los atacantes decidieron publicar en su sitio una pequeña porción de los archivos robados, amenazando con responder con una brecha de datos de todo el sitio si no se entrega el pago en una fecha próxima.
Esta estrategia extorsiva incluye el robo de información sensible de la víctima previo al cifrado de los datos.
Si bien este método de extorsión puede ser eficaz, sobre todo contra instituciones gubernamentales, existen casos en donde la información que los cibercriminales puedan llegar a obtener no es lo suficientemente crítica o no sugiere que pueda llegar a influir en la víctima para acceder al pago.
Es por eso que se emplean medidas extra, como lanzar ataques del tipo denegación de servicio distribuido (DDoS, por sus siglas en inglés) que apunten a las redes internas o sitio de la empresa víctima, pudiendo dejar fuera de servicio el sitio web de los blancos afectados por periodos de tiempo prolongados, lo cual impediría a los usuarios acceder al mismo.
“En este sentido, si las víctimas no están preparadas, este tipo de ataques puede afectar a la reputación y generar pérdidas económicas a las empresas, sobre todo en rubros en los que la confianza y credibilidad de los clientes es fundamental”, comenta Martina López, especialista de seguridad informática del Laboratorio de ESET Latinoamérica.
Otra reciente víctima en Latinoamérica fue una compañía costarricense de telecomunicaciones. Los operadores detrás de Avaddon amenazaron con realizar un ataque de DDoS a su sitio principal, al cual acuden sus usuarios y potenciales clientes interesados en los servicios que ofrece.
“Una vez más, podemos ver cómo las bandas que operan las distintas familias de ransomware se reinventan en función del mercado de venta de amenazas», explicó el ejecutivo.
«Esto les permite sortear obstáculos que no permitan generar una ganancia monetaria a partir de los ataques deseados. Sin embargo, cada novedad o arreglo que las bandas criminales implementan permite a quienes protegen el mundo de la información aprender sobre las operaciones que realizan, los errores y debilidades de cada uno, permitiendo así poder desmantelar estas operaciones cada vez más rápido e informar correctamente a potenciales víctimas”, concluye López de ESET.
Para más información, ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención: https://www.eset-la.com/kit-Antiransomware
