A finales de 2023, México se ubicaba como el segundo país de Latinoamérica, sólo detrás de Perú, con más detecciones únicas en cuanto refiere a ransomware con un total del 16.3% de distribución en Latinoamérica conforme a la telemetría de ESET.

A continuación, las familias de ransomware más activas en México durante el primer trimestre de este 2024:

Ransomware BlackMatter

A pesar de que detuvo sus actividades en noviembre del 2021, recientemente se observan muestras aún activas de este malware cuyas infecciones se debieron principalmente por las siguientes cuestiones:

  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados, debido a que ya no contaban con soporte (EoL), tampoco tenían instalado un producto antimalware y si contaban con alguno, este estaba totalmente desactualizado.
  • El servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con contraseñas débiles susceptibles a ataques de fuerza bruta.
  • Ausencia de soluciones para el monitoreo de servidores críticos.
  • Implementación inadecuada de herramientas y/o políticas que pudieron detener la propagación de este malware.

Ransomware Phobos

De igual manera que con BlackMatter, ha sobrevivido por su modelo de negocio (RaaS – Ransomware-as-a-Service).

Los vectores identificados para su propagación fueron los siguientes:

  • Como sucedió con BlackMatter, el servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con ausencia de credenciales.
  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados debido a que no contaban con soporte (EoL).
  • Ausencia de controles y políticas en el acceso a los servidores o clientes.
  • Ausencia de soluciones de antimalware actualizados.

Entre los sectores mayormente atacados por ransomware se encontraron:

  • Escuelas.
  • Transporte.
  • Petrolero.
  • Consultoras.

Consejos para evitar ser víctima de ransomware

  • Realizar copias de seguridad de todos los sistemas críticos para prevenir la pérdida de información.
  • Mantener los sistemas operativos actualizados,
  • En caso de que el sistema operativo finalice de manera próxima el soporte por parte del fabricante, elegir aquel que permita que las actualizaciones logren cubrir un periodo mayor de 2 años.
  • Tener instalada una herramienta antimalware y que se encuentre actualizada.
  • Deshabilitar o asegurar las conexiones RDP (usando una VPN, 2FA, restringiendo el acceso a los usuarios y las IP que realmente lo necesitan, utilizar un puerto diferente al predeterminado) además de contar con un firewall.
  • Contar con una política de accesos y contraseñas para las contraseñas que expiren (se recomiendan períodos de 60 o 90 días y forzar el cambio periódico de contraseña), tomando en cuenta que la longitud mínima sea al menos de 15 caracteres, con combinaciones de letras, números y signos. Además que el tiempo de bloqueo por alcanzar el umbral de accesos denegados, sea al menos de 15 minutos.
  • Contar con soluciones que permitan el monitoreo de peticiones entrantes y salientes desde cualquier servidor y cliente.

Fuente https://www.welivesecurity.com/es/ransomware/ransomware-mexico-panorama-primer-trimestre-2024/