AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Aumenta la actividad del ransomware Interlock: alerta máxima para empresas e infraestructuras críticas**

admin

### 1. Introducción

El ransomware continúa siendo una de las mayores amenazas para la ciberseguridad a nivel global, evolucionando con tácticas cada vez más sofisticadas y agresivas. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) y el Buró Federal de Investigaciones (FBI) han emitido una alerta conjunta sobre el repunte en la actividad maliciosa del grupo responsable del ransomware Interlock, que está afectando directamente a empresas y organizaciones de infraestructuras críticas mediante ataques de doble extorsión. Este aviso pone de manifiesto la necesidad urgente de reforzar las medidas de protección y de actualizar los protocolos de respuesta ante incidentes.

### 2. Contexto del Incidente o Vulnerabilidad

Desde mediados de 2023, Interlock ha intensificado sus operaciones, dirigiendo sus ataques principalmente contra sectores estratégicos como sanidad, energía, servicios financieros, tecnología y manufactura. Según datos analizados por CISA y el FBI, el grupo ha escalado tanto en volumen como en complejidad de sus campañas, empleando técnicas de doble extorsión: tras cifrar los datos de sus víctimas, amenazan con su publicación si no se paga el rescate, lo que añade una presión significativa a las organizaciones afectadas.

El modelo de negocio de Interlock se alinea con el ransomware-as-a-service (RaaS), permitiendo que afiliados con distintos niveles técnicos desplieguen el malware a cambio de una comisión sobre los rescates obtenidos. Esta descentralización ha multiplicado el impacto y la velocidad de propagación de la amenaza.

### 3. Detalles Técnicos

El ransomware Interlock ha sido identificado bajo el CVE-2023-XXXX (identificador provisional, ya que la vulnerabilidad principal explotada varía según la campaña). Los atacantes utilizan un conjunto diverso de vectores de acceso inicial, entre los que destacan:

– **Phishing dirigido** con payloads adjuntos o enlaces maliciosos.
– **Explotación de servicios RDP expuestos** y VPNs vulnerables sin autenticación multifactor (MFA).
– **Aprovechamiento de vulnerabilidades conocidas** en appliances de terceros (por ejemplo, CVE-2023-34362 en MOVEit Transfer).

Una vez dentro del entorno, Interlock realiza movimientos laterales empleando herramientas como Cobalt Strike y PsExec, y escalada de privilegios mediante explotación de debilidades en Active Directory. La cadena de ataque corresponde a las siguientes técnicas del framework MITRE ATT&CK:

– **Initial Access:** T1193 (Spearphishing Attachment), T1133 (External Remote Services)
– **Execution:** T1059 (Command and Scripting Interpreter)
– **Persistence:** T1547 (Boot or Logon Autostart Execution)
– **Lateral Movement:** T1021 (Remote Services), T1075 (Pass-the-Hash)
– **Exfiltration:** T1041 (Exfiltration Over C2 Channel)
– **Impact:** T1486 (Data Encrypted for Impact), T1490 (Inhibit System Recovery)

Los indicadores de compromiso (IoC) asociados incluyen dominios C2, hashes de ejecutables maliciosos, rutas de despliegue, y patrones de cifrado específicos (usualmente AES-256 y RSA-2048). Se han observado variantes del malware que emplean ofuscación avanzada y borrado de registros para dificultar la detección forense.

### 4. Impacto y Riesgos

Las consecuencias de los ataques de Interlock son severas. Según informes de la industria, el 65% de las organizaciones atacadas sufren interrupciones operativas superiores a 72 horas, y los rescates exigidos oscilan entre 300.000 y 3 millones de euros, dependiendo del perfil de la víctima y la sensibilidad de los datos comprometidos. A esto se suma el daño reputacional y el riesgo de sanciones regulatorias por incumplimiento de la GDPR, especialmente en casos donde se produce la filtración de datos personales.

Sectores críticos como energía y sanidad corren el riesgo de sufrir interrupciones de servicios esenciales, lo que puede derivar en consecuencias económicas y sociales de gran envergadura. Además, la publicación de información confidencial en la dark web expone a las organizaciones a amenazas secundarias, como fraudes y ataques de ingeniería social dirigidos.

### 5. Medidas de Mitigación y Recomendaciones

CISA y el FBI recomiendan adoptar una estrategia multicapa, basada en los siguientes puntos clave:

– **Aplicación inmediata de parches de seguridad** en todos los sistemas expuestos, priorizando VPNs, RDP y aplicaciones web críticas.
– **Implantación de autenticación multifactor (MFA)** en todos los accesos remotos y privilegios elevados.
– **Segmentación de red** y restricción de movimientos laterales mediante firewalls internos y políticas de acceso mínimas.
– **Monitorización continua de logs y tráfico** en busca de patrones de comportamiento anómalos asociados a TTP de Interlock.
– **Copia de seguridad offline y pruebas regulares de restauración** para garantizar la resiliencia operativa.
– **Simulación de ataques (red teaming)** y formación continua en concienciación para empleados.

La colaboración con los CERT nacionales y la notificación temprana de incidentes son fundamentales para limitar la propagación y mitigar el daño.

### 6. Opinión de Expertos

Diversos analistas del sector, como Raúl Siles (SANS Instructor) y Chema Alonso (Telefónica), coinciden en que la profesionalización de grupos como Interlock representa un salto cualitativo en el cibercrimen organizado. “La capacidad de adaptación de estos grupos les permite explotar vulnerabilidades emergentes en cuestión de días”, advierte Siles, mientras que Alonso subraya la importancia de protocolos Zero Trust y automatización en respuesta a incidentes.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de ciberseguridad, realizando auditorías de exposición y actualizando sus planes de contingencia conforme a los requisitos de NIS2 y GDPR. La falta de preparación o la demora en la respuesta pueden traducirse en sanciones regulatorias, pérdida de confianza de clientes y costes operativos elevados.

Para los usuarios, la concienciación sobre los riesgos de phishing y la importancia de contraseñas robustas sigue siendo esencial, ya que muchos de los ataques de Interlock se originan por errores humanos o credenciales expuestas.

### 8. Conclusiones

El incremento en la actividad del ransomware Interlock debe considerarse una señal de alarma para todas las organizaciones, especialmente aquellas que gestionan infraestructuras críticas. Solo una defensa proactiva, basada en la inteligencia de amenazas y la colaboración público-privada, permitirá contener el avance de una amenaza que no muestra signos de disminuir.

(Fuente: www.bleepingcomputer.com)