El 7 de septiembre, se informó que Educal sufrió un ataque de ransomware, en el que se sustrajeron aproximadamente 50 GB de data sensible, incluyendo tarjetas de identificación, contratos, datos de empleados, informes de auditoría, cartera de clientes, entre otros.
Educal distribuye publicaciones del Conaculta, del programa Preparatoria Abierta de la Secretaría de Educación Pública y de numerosas entidades culturales, universidades e institutos de investigación. Es crucial mencionar que Educal asegura la disponibilidad de los libros del programa Preparatoria Abierta, que cuenta con casi 2 millones de estudiantes inscritos. Además, gestiona la distribución y venta en México a través de una red de más de 90 librerías en todo el país y 10 unidades móviles de venta llamadas "Librobús". El grupo cibercriminal detrás del ataque se identifica como NoEscape.
Emergiendo en mayo de 2023, NoEscape se presenta como un ransomware ofertado como servicio (RaaS). Lo que lo distingue es que, según sus desarrolladores, ha sido diseñado enteramente desde el inicio, sin aprovechar códigos existentes o filtraciones de otros ransomware ya consolidados.
La plataforma ofrecida por NoEscape permite a sus colaboradores generar y administrar cargas maliciosas específicas para sistemas operativos Windows y Linux. Se le reconoce, además, por emplear estrategias de extorsión diversificadas, como la exposición pública de víctimas y datos robados en un blog alojado en la red TOR, presionando a quienes no ceden ante sus demandas.
Funcionando como un servicio (RaaS), NoEscape brinda una infraestructura para que sus colaboradores creen y gestionen ataques de ransomware. Los ingresos obtenidos por rescates son compartidos, con condiciones variables. Por ejemplo, para rescates superiores a los 3 millones de dólares, la división es 90/10 a favor de los colaboradores, mientras que un rescate de un millón se divide en 80/20.
En lo que respecta a su potencial técnico, NoEscape admite diversas modalidades de cifrado, ya sea completo, acelerado o seguro. Utiliza algoritmos robustos como RSA y ChaCHA20 para el cifrado de archivos. Cuenta con funcionalidades como la interrupción de procesos, operación en modo seguro, y expansión y cifrado vía SMB o DFS. También emplea herramientas como el Administrador de reinicio de Windows para sortear posibles obstrucciones al cifrado. Un atributo distintivo es su cifrado compartido, que emplea una única clave para todos los archivos comprometidos en una red, optimizando el cifrado y agilizando el descifrado en caso de que se efectúe el pago.
Te podría interesar leer: Explorando NoEscape Ransomware: Un Viaje al Lado Oscuro de la Web
En 2021, Avaddon, un infame grupo ransomware, declaró a la Lotería Nacional de México entre sus objetivos. Surgiendo en 2019, Avaddon ganó notoriedad por sus estrategias de extorsión doble, cifrando archivos de víctimas y amenazando con divulgar datos robados. Sus objetivos variaban desde sectores médicos hasta minoristas. De forma peculiar, optó por no atacar a ciertos países de la antigua Unión Soviética, en especial aquellos con afinidades a Rusia. Sin embargo, en 2021, cesaron sus actividades, entregando claves de descifrado a sus víctimas. Pero en 2023, emergió NoEscape, mostrando similitudes sorprendentes con Avaddon.
Te podría interesar leer: Ataque de Ransomware con Doble Extorsión
Algunos de los puntos que interconectan a ambos grupos son:
Coincidencias en cifrado: A pesar de que Avaddon optó por AES y NoEscape por Salsa20, la estructura y los métodos de cifrado de ambos presentan sorprendentes similitudes.
Configuraciones superpuestas: Los dos ransomware emplean archivos y directrices de configuración similares, reforzando la idea de una conexión entre ambos.
Paralelismos tácticos: Las estrategias de NoEscape reflejan las de Avaddon, desde el acceso a redes hasta la aplicación de extorsiones dobles.
Restricciones geográficas: Siguiendo la pauta de Avaddon, NoEscape evita atacar a países de la ex Unión Soviética, entregando claves de descifrado a víctimas de esas regiones.
Rebranding sospechoso: Las claras similitudes y la aparición de NoEscape tras el cese de Avaddon indican una posible reconversión. Se especula que los protagonistas de Avaddon ahora formen parte de NoEscape.
Pese a que NoEscape se proyecta como una nueva amenaza, sus fundamentos parecen estar vinculados a Avaddon. ¿Podría haberse basado NoEscape en las tácticas y métodos de Avaddon? Y si es así, ¿México podría enfrentar más ataques similares en el futuro?
Protegerse de grupos de ransomware como NoEscape requiere de una combinación de medidas preventivas, de detección y de respuesta. Aquí hay algunas recomendaciones clave para fortalecer la defensa contra tales amenazas:
Copias de seguridad regulares: Realiza copias de seguridad de todos los datos importantes y asegúrate de que estas copias estén desconectadas o aisladas de su red principal. Verifica regularmente que las copias de seguridad se pueden restaurar.
Actualizaciones y parches: Mantén todos los sistemas, software y aplicaciones actualizados. Los grupos de ransomware a menudo explotan vulnerabilidades conocidas para infiltrarse en sistemas.
Filtrado de correos electrónicos: Muchos ataques de ransomware comienzan con correos electrónicos de phishing. Utiliza soluciones que filtren correos electrónicos maliciosos y capacita a los trabajadores para que reconozcan intentos de phishing.
Software de seguridad: Instala y mantén actualizado un software antivirus y antimalware de buena reputación que incluya protección en tiempo real.
Principio de menor privilegio: Asigna a los usuarios y aplicaciones solo los privilegios que necesitan. Si un malware compromete una cuenta con privilegios limitados, su capacidad para causar daño será menor.
Restricciones de ejecución: Usa herramientas para restringir la ejecución de software desde ubicaciones comunes de malware, como carpetas temporales.
Reducción de la superficie de ataque: Deshabilita o desinstala servicios y programas no esenciales. Cada servicio habilitado o programa instalado puede representar un punto de entrada potencial para un atacante.
Capacitación y conciencia del usuario: La educación regular de los empleados sobre las amenazas de seguridad y cómo reconocerlas es esencial.
Monitoreo y detección: Utiliza soluciones de detección y respuesta de endpoints (EDR) y sistemas de detección y prevención de intrusiones (IDPS) para detectar y responder rápidamente a actividades maliciosas.
Multifactor Authentication (MFA): Implementa la autenticación de múltiples factores, especialmente para el acceso remoto y las cuentas administrativas.
Plan de respuesta a incidentes: Tén un plan de respuesta a incidentes bien definido y practica escenarios de ransomware regularmente para garantizar que tu equipo sepa cómo reaccionar.
Al seguir estas recomendaciones y mantenerse informado sobre las últimas tácticas, técnicas y procedimientos de los grupos de ransomware, estarás en una posición mucho más sólida para proteger tu organización contra estas amenazas.