RANSOMWARE

Everywhere

Lic. Cristian Borghello

CISSP – CCSK – CSFPC
www.segu-info.com.ar
info@segu-info.com.ar
@seguinfo
Sobre Cristian Borghello (AR)

 Licenciado en Sistemas UTN desde 2000

 Desarrollador desde los 8 años
 CISSP (Certified Information Systems Security Professional)
 Microsoft MVP Security durante 10 años
 CCSK (Certificate Cloud Security Knowledge)
 CSFPC (Certification Cyber Security Foundation)
 Certificado en Ciberseguridad en Corea del Sur
 Profesor Universitario de Grado y Posgrado
 Entrenador en Ciberseguridad para la ONU
 Creador de Segu-Info, Segu-Kids, ODILA y Antiphishing.LA
Servicios delictivos

▣ CyberCrime as a Service (CaaS): modelo de negocio para

recolectar, comprar y vender información obtenida en
forma fraudulenta.
▣ Criminal to Criminal (CtC): servicios y negocios
criminales realizados en Internet.
▣ Hacking as a Service (HaaS): cracking de cuentas que
permite obtener datos que, posteriormente, serán
utilizados para cometer otros delitos.
▣ Malware as a Service (MaaS): modelo para difundir e
instalar malware a medida y bajo el modelo Pay-per-
Install.
 Tipo de troyano
que “secuestra”
(cifra) archivos y
pide un rescate
Ransomware
económico por
los mismos
Ransomware as a Service (RaaS)

Modelo de negocio entre el desarrollador

o el operador del ransomware y afiliados
 El ransomware es desarrollado por los operadores
(habilidad “alta”)
 Los afiliados infectan y lanzan los ataques de
ransomware a las víctimas (habilidad “baja”)
Extorsiones

DOBLE
Extorsión
Cifrado
(lockdown) Exfiltración de
datos

TRIPLE
Extorsión

Venta a ACOSO
terceros
El negocio se mueve a la nube

https://info.flexera.com/CM-REPORT-State-of-the-Cloud
EL RANSOMWARE ES LA FORMA MÁS COMÚN DE MALWARE.
Su popularidad crece debido a su las grandes ganancias y bajo
riesgo para los ciberdelincuentes.

Hay un ataque de ransomware cada

11 segundos
El tiempo de inactividad es de
21 días

46% de las organizaciones sufrieron daños

severos en su reputación y valor de la marca
Modelos de negocio RaaS

1. Suscripción mensual por una tarifa plana

2. Tarifa de licencia única sin participación
en las ganancias
3. Programas de afiliados con un porcentaje
de las ganancias (20-30%) para el
desarrollador del ransomware
4. …
Ransomware en la nube

▣ Repositorio infectado: el ransomware infecta los

archivos locales que luego se sincronizan con la nube
▣ Ransomware de VM: se infectan las máquinas
virtuales alojadas en los repositorios del cliente
▣ RansomCloud: tiene como objetivo los servicios de
correo electrónico y alojamiento basados ​en la nube
▣ Ransomware dirigido a proveedores de la nube
propiamente dichos
Factores que potencian las pérdidas

▣ Pagos adicionales a propios y terceros

▣ Tiempos de caída
▣ Lucro cesante
▣ Costos legales y de seguros
▣ Pérdidas de contratos
▣ Imagen y reputación
▣ Costos de investigación, DFIR, recuperación (post-morten)
▣ El pago del ransomware (si aplica)
▣ …
 Cuidado con  El ransomware puede pasar
desapercibido durante días
las copias o semanas.
antiguas  A menudo no se infecta
todo el contenido
 Podría haber decenas de
“copias de seguridad”
infectadas
Si nunca se probó la  En la nube se podría
RECUPERACIÓN, detectar actividad anómala
entonces no hay y bloquearla
backup
Panorama Internacional y Cibercrimen
Anatomía de un ataque de Ransomware
Lockbit

▣ Disponible desde 2019

▣ Similar a Revil / Sodinokibi

▣ Se anuncia como el “software de cifrado más rápido del

mundo”. Algunas estimaciones sugieren que está detrás
del 40% de todos los ataques del mundo.
▣ Existen versiones (in-progress) para Win, macOS, ARM,
FreeBSD, MIPS, SPARC y VMware ESXi
Notas de rescate
Chain ATT&CK (MITRE)
Muro de la
vergüenza
Alphv / BlackCat y Babuk

▣ Alphv / BlackCat: basado en el lenguaje Rust

▣ Formado por ex-miembros de REvil y conectado a los grupos
BlackMatter y DarkSide
▣ Explota fallas de seguridad conocidas o credenciales de
cuentas vulnerables; puede lanzar ataques DDoS para
presionar a la víctima
▣ Babuk: especializado en VMware ESXi
▣ Existen decenas de variantes desde su código filtrado en
09/2021
Malware “benéfico”
Somos
Malas…

https://twitter.com/darktracer_int/status/1660520888108998658
  Definir una Política de
Seguridad de la Información
Medidas de relacionada a incidentes de
ransomware
Protección  Capacitación, Concientización
y Educación de todos los
empleados de forma regular
 Segregación de funciones,
roles y permisos
 Administración de los riesgos
en la cadena de suministro
Personas
  Desarrollar e implementar
una estrategia de
Medidas de ciberseguridad con roles y
Protección responsabilidades claros
 Desarrollar las medidas de
mitigación de riesgos
 Implementar estándares de
seguridad (ISO 27001, PCI,
NIST,CSA, etc.)
 Realizar evaluaciones de
Procesos vulnerabilidades periódicas
  Redundancia de datos (backup +
restore)
Medidas de  Cifrado de datos sensibles

Protección  Hardening de aplicaciones en

nubes y sistemas
 Actualizaciones de seguridad
regulares
 Desinstalar aplicaciones
innecesarias e implementar
control cambios
 Segmentación de red
Tecnología  MFA (sin excepción)
 Herramientas de detección
bloqueo proactivo
Posibles “respuestas”

1. Control de versiones de almacenamiento en la nube

habilitado
2. ¿Se puede identificar y eliminar una versión
infectada y seguir con la última versión buena
conocida?
3. Se debe monitorear todo el ecosistema (Logs, SIEM,
DLP, etc.)
4. Análisis de comportamiento de usuarios y archivos
5. Respuesta a incidentes
¿PREGUNTAS?
GRACIAS!

Lic. Cristian Borghello

CISSP – CCSK – CSFPC
www.segu-info.com.ar
info@segu-info.com.ar
@seguinfo