AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ransomware ataca a organismos gubernamentales y servicios críticos en Australia, Nueva Zelanda y Tonga**

admin

### Introducción

En las últimas semanas, múltiples organismos gubernamentales, clínicas de emergencia y otros servicios esenciales de Australia, Nueva Zelanda y Tonga han sido víctimas de una serie de ataques coordinados por un grupo de ransomware de alta actividad. Este incidente pone de manifiesto la creciente amenaza que representan las bandas de ransomware contra infraestructuras críticas en la región del Pacífico, y destaca la necesidad de fortalecer las estrategias de defensa y respuesta ante amenazas avanzadas.

### Contexto del Incidente

A lo largo del mes pasado, se han reportado infecciones vinculadas a un grupo de ransomware conocido por su capacidad de comprometer redes de alta criticidad. Las víctimas confirmadas incluyen agencias gubernamentales estatales y locales, clínicas de atención de emergencias y proveedores de servicios esenciales. Estos ataques han producido interrupciones operativas, exfiltración de datos confidenciales y demandas de rescate que han alcanzado cifras superiores al millón de dólares australianos por incidente.

La ofensiva ha coincidido con una oleada de campañas de phishing dirigidas y la explotación de vulnerabilidades zero-day en soluciones ampliamente desplegadas en la administración pública y el sector sanitario. Los primeros indicios apuntan a la utilización de ransomware-as-a-service (RaaS), lo que sugiere la participación tanto de actores internos como de afiliados externos.

### Detalles Técnicos

Las investigaciones preliminares realizadas por equipos de respuesta a incidentes (CSIRT) de Australia y Nueva Zelanda han identificado la implicación del ransomware “BlackCat” (también conocido como ALPHV), así como variantes de LockBit y Cl0p. Los grupos han aprovechado vulnerabilidades críticas, como CVE-2023-27350 y CVE-2023-34362, ambas relacionadas con la explotación remota de controladores de impresión y soluciones de transferencia de archivos (MOVEit Transfer), respectivamente.

– **Vectores de ataque:**
– Phishing dirigido mediante correos electrónicos con payloads maliciosos (Emotet, QBot)
– Explotación de servicios RDP expuestos y credenciales comprometidas
– Vulnerabilidades no parcheadas en software de gestión y almacenamiento de datos

– **TTPs (MITRE ATT&CK):**
– TA0001 (Initial Access): Spear phishing attachment, valid accounts
– TA0002 (Execution): Command and Scripting Interpreter
– TA0005 (Defense Evasion): Impair Defenses, File Deletion
– TA0011 (Command and Control): Application Layer Protocol

– **Indicadores de compromiso (IoC):**
– Hashes de ejecutables BlackCat y LockBit
– Dominios C2 como `darkweb[.]alphv[.]net`
– Conexiones inusuales desde direcciones IP de Europa del Este

Se han detectado intentos de despliegue lateral mediante herramientas como PsExec y la utilización de frameworks como Cobalt Strike para persistencia y movimiento lateral. En algunos casos, los atacantes han empleado Metasploit para la explotación inicial y la escalada de privilegios.

### Impacto y Riesgos

El impacto de estos ataques ha sido significativo. Varias clínicas de emergencia experimentaron la interrupción de servicios médicos esenciales, retrasos en la atención y filtraciones de datos sensibles de pacientes. Organismos gubernamentales han informado de la pérdida temporal de acceso a sistemas de gestión y a información crítica.

Según estimaciones de la Australian Cyber Security Centre (ACSC), el 22% de las entidades afectadas han pagado rescates, lo que supone cerca de 10 millones de dólares australianos en el último trimestre. Además, la filtración de datos ha expuesto a miles de usuarios, con posibles implicaciones en el cumplimiento de la GDPR y la inminente directiva NIS2 en la Unión Europea, que establece requisitos más estrictos en la protección de infraestructuras críticas.

### Medidas de Mitigación y Recomendaciones

Las autoridades recomiendan a las organizaciones afectadas y a otras potencialmente en riesgo la aplicación de las siguientes medidas:

– Actualización inmediata de todos los sistemas y aplicación de parches críticos (especialmente para CVE-2023-27350 y CVE-2023-34362).
– Implementación de autenticación multifactor (MFA) en todos los accesos remotos y privilegiados.
– Monitorización intensiva de logs de eventos y tráfico de red en busca de IoCs conocidos.
– Segmentación de red para limitar el movimiento lateral y uso de listas blancas de aplicaciones.
– Realización de simulacros de respuesta ante incidentes y copias de seguridad offline verificadas.

### Opinión de Expertos

Especialistas en ciberseguridad, como la firma australiana CyberCX, advierten que “el ecosistema de ransomware-as-a-service permite la rápida proliferación de ataques avanzados incluso por actores con baja capacidad técnica”. Por su parte, la Agencia de Seguridad Cibernética de Nueva Zelanda destaca que “la combinación de exploits zero-day y credenciales filtradas está elevando el nivel de amenaza para servicios críticos”.

### Implicaciones para Empresas y Usuarios

Este incidente evidencia la necesidad de priorizar la ciberresiliencia, especialmente en entidades que gestionan infraestructuras críticas o datos personales sensibles. El cumplimiento normativo, la protección de la reputación y la continuidad operativa están en juego. Las organizaciones deben evaluar sus estrategias de gestión de riesgos, invertir en formación de empleados contra phishing y revisar sus pólizas de ciberseguro ante el creciente impacto económico de estos incidentes.

### Conclusiones

La reciente oleada de ataques de ransomware en Australia, Nueva Zelanda y Tonga subraya la sofisticación y alcance global de las amenazas actuales. Solo mediante la actualización constante de defensas, el refuerzo de controles de acceso y la colaboración internacional se podrá mitigar eficazmente el riesgo y reducir las consecuencias de futuros ataques.

(Fuente: www.darkreading.com)