Vulnerabilidad en VPN comercial puede haber afectado a más de 451 mil cuentas en América Latina
Los segmentos financieros, gubernamentales y académicos, entre los más impactados
27 de septiembre de 2021
Recientemente, la banda de Ransomware Groove publicó archivos que contenían credenciales para los enrutadores o VPNs de un proveedor conocido en su sitio DLS (Data Leak Site). Los mismos datos fueron publicados en un foro de la Deep Web que surgió hace un par de meses y que, posiblemente, está asociado con el grupo. Los archivos se publicaron en carpetas, divididas por número de puertos y regiones / IPS, lo que permitió que los expertos de Kaspersky analizaran el potencial de las víctimas en América Latina.
El breve análisis de los expertos de la compañía indica que empresas de 168 países han sido afectadas, y los segmentos potencialmente más impactados son los financieros, gubernamentales y académicos/universidades. Basado en los datos disponibles, existe un potencial de 451,609 víctimas de una o varias compañías. Teniendo en cuenta las direcciones IP, los cinco países más afectados en América Latina son México (34,985 (posibles víctimas), Brasil (29.2293), Colombia (28.116), Perú (12,146) y Venezuela (9.607).
El Equipo de Investigación y Análisis (GReAT) de Kaspersky también evaluó la infraestructura utilizada por los ciberdelincuentes detrás del ransomware Groove y reveló varias superposiciones de actividades que pueden ser asociadas a tres grupos diferentes de ransomware: Groove, Blackmatter y Babuk. «Esto ofrece una débil indicación que estos criminales pueden estar cooperando entre sí», detalla Dmitry Bestuzhev, director de Equipo de Investigación y Análisis para América Latina en Kaspersky.
Para las empresas que utilizan VPNs u otro tipo de conexión remota, Kaspersky recomienda las siguientes prácticas de seguridad:
Utilice la autenticación de doble factor para la VPN, como un certificado electrónico en un token y una contraseña. Este incidente demostró que el solo uso de una contraseña no es suficiente para garantizar una alta protección.
Para las empresas que utilizan una VPN, es necesario mantener una política de actualización constante. Muchos ciberataques exploran vulnerabilidades en esta tecnología para lograr acceder a la red. Aplicando las actualizaciones y parches es la forma más sencilla de evitar un incidente de seguridad.
Solo permitir accesos remotos (RDP) basados en direcciones IPs, evitando otorgar permisos generales, como por país. Inclusive, estos tipos de permisos genéricos deben ser bloqueados por defecto. Los accesos remotos también deben autenticarse en dos pasos, pues requerir solo una contraseña no es suficientemente seguro.
Realice un monitoreo constante de accesos. Las empresas deben monitorear los intentos de acceso remoto para identificar posibles actividades sospechosas. Esto le permitirá reaccionar rápidamente y evitar que un intento de ataque se desarrolle. Este monitoreo lo puede realizar el equipo de SOC o se puede subcontratar a una empresa que proporcione este servicio.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 240,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com