Kaspersky explica de qué se trata el ciberataque que sufrió el BancoEstado

Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis, Kaspersky América Latina:

Sodinokibi, también conocido como Revil o Sodin, es un tipo de ransomware exclusivo para entidades comerciales, financieras o gubernamentales. La diferencia con otros ransomware es que las víctimas no son usuarios finales elegidos al azar, sino que compañías escogidas minuciosamente, y requiere de un largo trabajo por parte de ciberdelincuentes especializados, que puede tomar semanas o meses.

Este es uno de los grupos más temibles, porque ha tenido mucho éxito a nivel mundial y los rescates que se solicitan son de millones de dólares. Los delincuentes piden primero una suma por no divulgar la información conseguida y si la víctima no accede, esa suma va aumentando. Es un chantaje que puede terminar por decapitar a la víctima desde el punto de vista informático. Al final si es que la víctima resiste, su información se subasta para el mejor postor y si no, termina expuesta en el Internet.

No es primera vez que Chile es atacado ni está en la mira de los cibercriminales. Esto viene ocurriendo desde hace un tiempo porque el país tiene una estabilidad económica que atrae a los delincuentes. Por ello, no hay razón para pensar que esto se detendrá. Por el contrario, irá aumentando, y si las instituciones continúan con las mismas técnicas de defensa utilizadas hasta ahora, las cosas no van a mejorar. Sin embargo, hay pocas razones para rendirse, ya que la protección contra el ransomware es posible mediante medidas de seguridad factibles. Es necesario desplegar nuevas estrategias de ciberseguridad para prevenir futuros ataques de este tipo. 

Para ayudar a las empresas a mantenerse protegidas contra el ransomware, Kaspersky recomienda que las organizaciones tomen las siguientes medidas:

• Explique a los empleados cómo el seguir reglas simples puede ayudar a una empresa a evitar incidentes de ransomware. Los cursos de capacitación dedicados pueden ayudar, así como los que se proporcionan en la Kaspersky Automated Security Awareness Platform.
• Tenga siempre copias de seguridad recientes de sus archivos para que pueda reemplazarlos en caso de que se pierdan (por ejemplo, debido a malware o un dispositivo dañado) y almacénelos no solo en el dispositivo físico, sino también en la nube para una mayor fiabilidad. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cuando sea necesario.
• Implemente soluciones de detección de fugas de información.
• Realice trabajos del Threat Hunting de una forma permanente.
• Monitoree el tráfico de salida de red, porque así podrá detectar fugas de información que son previas al despliegue del ransomware que cifra los datos.
• Mantenga su centro de operaciones de seguridad (SOC, por sus siglas en inglés) trabajando 24/7 con los mejores feeds de seguridad.
• Implemente búsquedas y detecciones de los ataques por medio de las reglas Yara.
• Es esencial instalar todas las actualizaciones de seguridad tan pronto como estén disponibles. Actualice siempre su sistema operativo y software para eliminar vulnerabilidades recientes.
• Pruebe la herramienta gratuita Kaspersky Anti-Ransomware Tool for Business. La versión recientemente actualizada contiene una función de prevención de exploits para evitar que el ransomware y otras amenazas se aprovechen de vulnerabilidades en el software y las aplicaciones. También es útil para los clientes que aun usan Windows 7, pues al finalizar la asistencia a este sistema operativo, el desarrollador ya no ofrece parches para nuevas vulnerabilidades.
• Si un dispositivo corporativo ha sido cifrado, recuerde que el ransomware es un delito penal. No debe pagar el rescate exigido. Si se convierte en una víctima, infórmelo a su agencia local de cumplimiento de la ley. Trate de encontrar un descifrador en Internet; algunos de ellos están disponibles de forma gratuita aquí:https://noransom.kaspersky.com/es/