“Después del ciberataque de ransomware perpetrado contra la Lotería Nacional — dado a conocer el 27 de mayo, 2021 — , el grupo de cibercriminales conocido como Avaddon, está incrementando su actividad debido a la cantidad de herramientas que se están movilizando en foros clandestinos y al crecimiento de la red de afiliados que contratan el ransomware como servicio (RaaS) de dicho grupo delictivo”, consideró Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000.

Se estima que tras las acciones que ejecutarán contra la Lotería Nacional — a la cual le dieron 240 horas para pagar el rescate — se enfocarán a través de varios grupos de afiliados en vulnerar otro sitio de relevancia nacional o alguna organización de infraestructura crítica.

De acuerdo con la unidad de investigación de SILIKN, las campañas de Avaddon en curso están afectando a instituciones gubernamentales, financieras, industria y manufactura, aerolíneas, así como organizaciones del sector salud y atención médica.

Avaddon es un ransomware cuyos primeros ataques fueron detectados a finales del año 2019 y que a mediados del 2020 comenzó el reclutamiento de afiliados en foros clandestinos para su programa de RaaS.

La alerta emitida por la unidad de investigación de SILIKN señala que las acciones delictivas de Avaddon se están propagando a través de correos electrónicos con phishing y spam que distribuyen archivos JavaScript maliciosos.

Avaddon cifra los datos utilizando una clave de cifrado AES-256 única, verifica el idioma del sistema operativo y la distribución del teclado, así como la geolocalización predeterminada y el idioma del sistema del dispositivo del usuario para determinar si el usuario puede ser objetivo del ataque.

La unidad de investigación de SILIKN señala que los atacantes que utilizan el ransomware Avaddon han comprometido a las víctimas mediante el uso de inicios de sesión de protocolo de escritorio remoto o apuntando a redes privadas virtuales que están mal configuradas o usan autenticación de factor único. El malware que dispersan, además de aumentar los privilegios, contiene un código de protección anti-análisis y permite la persistencia en el sistema de la víctima.

Acciones urgentes a realizar

Por lo anterior, SILIKN recomendó a las organizaciones gubernamentales y de infraestructura crítica tomar medidas urgentes para proteger sus sistemas y activos durante esta semana, previa a las elecciones federales de México de 2021, que tendrán lugar el próximo domingo 6 de junio, tales como:

• Hacer una copia de seguridad de los datos críticos fuera de línea y garantizar que las copias de los datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.
• Asegurar las copias de seguridad y garantizar que no se pueda acceder a los datos para modificarlos o eliminarlos del sistema donde residen.
• Usar autenticación de dos factores con contraseñas seguras, especialmente para servicios de acceso remoto.
• Supervisar los informes de amenazas cibernéticas con respecto a la publicación de credenciales de inicio de sesión de VPN comprometidas.