¿Sabía usted que Colombia es el cuarto país más atacado de la región por el DeathRansom? Se trata de un viejo enemigo de los equipos de ciberseguridad empresarial que ha evolucionado a lo largo del tiempo y ha regresado potenciado con nuevas capacidades destructivas, nos recuerda Cristian Torres, director de marketing para Latam de Lumu Technologies.
Porque el DeathRansom no es algo nuevo, identificado inicialmente hacia 2019, este ransomware ha reactivado sus operaciones con nuevas tácticas enfocadas en el secuestro de datos. A diferencia de sus primeras iteraciones, la nueva ola de ataques no se centra únicamente en comprometer equipos en forma directa.
Según Torres, los atacantes ahora explotan las relaciones de confianza que los usuarios tienen con sitios web legítimos insertando componentes vulnerables en páginas de uso cotidiano que no generan sospecha inicial en los sistemas de defensa.
“Anteriormente buscaban engañar a un empleado con un sitio de phishing, eventualmente con alguna llamada, algún mensaje de texto o de WhatsApp, pero hoy en día lo que están haciendo es justamente entendiendo que las organizaciones han cambiado y que los equipos corporativos se mueven fuera de la organización”, afirma Torres.
Índice de temas
PDF, los sospechosos de siempre
El vehículo de infección predominante en este resurgimiento del DeathRansom son los archivos PDF, muchas veces escondidos dentro de sitios legítimos, que al descargarlos desencadenan la cadena de ataque en el equipo de la víctima. Esta técnica incluye engaños visuales sofisticados, como falsas verificaciones de seguridad tipo CAPTCHA, donde el usuario cree interactuar con un sistema de validación cuando en realidad está activando una redirección hacia infraestructura criminal.
Y es que a pesar de los avances tecnológicos, los archivos PDF siguen siendo un desafío técnico para las herramientas convencionales de ciberseguridad. Los Email Gateways, diseñados para filtrar correos corporativos, enfrentan dificultades para analizar estos archivos porque a menudo están protegidos con contraseñas legítimas, como es el caso de los extractos bancarios.
“Para el email gateway es imposible desencriptar un documento PDF sin la contraseña, entonces al momento en el que empieza a enfrentar este tipo de análisis, pues el email gateway tiene dos opciones, o lo manda para la cuarentena o lo deja seguir ¿sí? dependiendo de cómo estén configuradas sus reglas pero ahí empieza la primera dificultad, lo segundo es que en el PDF pueden venir enlaces para hacer click y esos enlaces pueden ser hacia uno de estos sitios legítimos que están comprometidos”, dijo Torres.
Región y aceleración del ransomware
La velocidad de ejecución de los ciberataques ha aumentado drásticamente, reduciendo el margen de reacción de las empresas. Según Torres, el equipo de inteligencia de amenazas de Lumu reporta que los adversarios pueden vulnerar una red y moverse lateralmente en cuestión de milisegundos: “Hoy en día los atacantes pueden demorar menos de 30 minutos para encriptar más de 100.000 archivos en una red”.
En el panorama regional, Colombia se ha posicionado como el cuarto país más atacado, siguiendo a naciones como Brasil, Estados Unidos y Perú. Este fenómeno se atribuye a la rápida digitalización y adopción de modelos de trabajo híbrido. La expansión del perímetro corporativo hacia redes domésticas y el uso de dispositivos personales para acceder a servicios críticos han generado “puntos ciegos” que facilitan la intrusión de los delincuentes.
Aunque no se sabe con exactitud quiénes están detrás del DeathRansom, la ausencia de ataques en territorios como Rusia y Ucrania sugiere, bajo la lógica de “no atacar la propia bandera”, que el origen de este malware podría situarse en Europa del Este.
Las víctimas del DeathRansom
Los objetivos principales de los cibercriminales en esta última campaña de Ransomware abarcan los sectores de educación, gobierno, salud y financiero. El factor común que atrae a los criminales es la granularidad y sensibilidad de la información que estas entidades gestionan, tales como historias clínicas, pasaportes y datos de investigación.
Esta información, por cierto, es posteriormente utilizada para ejecutar ataques de ingeniería social más precisos y creíbles contra individuos específicos. La modalidad de extorsión también ha mutado hacia esquemas de “triple extorsión”. Ya no basta con encriptar y robar la información; ahora los criminales contactan a los proveedores y socios de la víctima para amenazarlos con la filtración de datos compartidos.
Ante este escenario, la recomendación para los responsables de seguridad es cambiar el enfoque reactivo y operar bajo la premisa de que la organización ya ha sido vulnerada y que es necesario demostrar lo contrario mediante la vigilancia activa de la red. Para ello, es vital reducir la dependencia de tareas manuales, las cuales resultan insuficientes ante la velocidad de los ataques automatizados actuales.
La estrategia de defensa debe centrarse en la visibilidad completa de la red, considerada la “fuente de la verdad” en ciberseguridad, ya que es el único entorno que los atacantes no pueden evadir al realizar movimientos laterales. La integración de la infraestructura para que comparta información de amenazas en tiempo real y la orquestación de una respuesta automatizada son pasos fundamentales para contener incidentes antes de que se conviertan en crisis.
