{"id":19791,"date":"2020-08-03T11:55:21","date_gmt":"2020-08-03T17:55:21","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19791"},"modified":"2022-05-05T09:49:19","modified_gmt":"2022-05-05T15:49:19","slug":"wastedlocker-garmin-incident","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/wastedlocker-garmin-incident\/19791\/","title":{"rendered":"An\u00e1lisis del ransomware dirigido WastedLocker"},"content":{"rendered":"<p>A finales de julio del 2020, los sitios webs especializados en tecnolog\u00eda se llenaron de art\u00edculos sobre Garmin porque varios de sus servicios, incluidas la sincronizaci\u00f3n de dispositivos y las herramientas para pilotos, se desactivaron. La falta de informaci\u00f3n exacta hizo que todos lanzaran varias teor\u00edas. Por nuestra parte, decidimos esperar para recopilar informaci\u00f3n concreta antes de hablar del tema.<\/p>\n<p>En su <a href=\"https:\/\/www.garmin.com\/es-ES\/outage\/\" target=\"_blank\" rel=\"noopener nofollow\">comunicado oficial<\/a>, Garmin confirm\u00f3 que hab\u00eda sido v\u00edctima de un ciberataque que interrumpi\u00f3 sus servicios <em>online<\/em> y cifr\u00f3 algunos sistemas internos. La informaci\u00f3n disponible mientras escribimos estas l\u00edneas indica que los atacantes usaron el <em>ransomware<\/em> WastedLocker. Nuestros expertos han realizado un an\u00e1lisis detallado de este y estas son las principales conclusiones.<\/p>\n<p>\u00a0<\/p>\n<h2>El <em>ransomware<\/em> WastedLocker<\/h2>\n<p>WastedLocker es un ejemplo de <em>ransomware<\/em> dirigido (malware programado para atacar una empresa en concreto). El mensaje de rescate se refiere a la v\u00edctima por su nombre y todos los archivos cifrados llevaban la extensi\u00f3n adicional <strong>.garminwasted<\/strong>.<\/p>\n<p>El plan criptogr\u00e1fico de los cibercriminales apuntaba a la misma conclusi\u00f3n: los archivos se cifraron mediante algoritmos AES y RSA, los cuales suelen combinar los creadores de <em>ransomware<\/em>. No obstante, en este caso se emplea una clave RSA p\u00fablica para cifrar los archivos, en lugar de generar una \u00fanica en cada infecci\u00f3n. Es decir, si esta modificaci\u00f3n del <em>ransomware<\/em> se usara contra diferentes objetivos, el programa para descifrar los datos ser\u00eda de uso general porque tambi\u00e9n tendr\u00eda que haberse usado una clave privada.<\/p>\n<p>Adem\u00e1s, el <em>ransomware<\/em> tiene estas caracter\u00edsticas que resultan un tanto curiosas:<\/p>\n<ul>\n<li>Da prioridad al cifrado de datos, es decir, los cibercriminales pueden especificar un directorio o archivos para cifrarlos primero. Este hecho maximiza los da\u00f1os en el caso de que los mecanismos de seguridad detengan el proceso de cifrado antes de que se complete,<\/li>\n<li>Cuenta con soporte para el cifrado de datos en recursos remotos.<\/li>\n<li>Tiene privilegios de control y emplea el <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dll-hijacking\/\" target=\"_blank\" rel=\"noopener\">secuestro de DLL<\/a> para aumentar sus privilegios.<\/li>\n<\/ul>\n<p>Encontrar\u00e1s un an\u00e1lisis detallado del <em>ransomware<\/em> en nuestro <a href=\"https:\/\/securelist.com\/wastedlocker-technical-analysis\/97944\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo \u2018WastedLocker: technical analysis\u2019 de Securelist<\/a>.<\/p>\n<h2>\u00bfC\u00f3mo va todo con Garmin?<\/h2>\n<p>Seg\u00fan el comunicado actualizado de la empresa, los servicios ya vuelven a funcionar, aunque la sincronizaci\u00f3n de datos puede ser lenta y limitada en algunos casos concretos, lo cual es comprensible: los dispositivos que no pudieron sincronizarse con los servicios en la nube ahora est\u00e1n conectando a la vez con los servidores de la empresa, incrementando la carga.<\/p>\n<p>Garmin se\u00f1ala que no hay pruebas de que nadie haya obtenido acceso sin autorizaci\u00f3n a los datos de los usuarios durante el incidente.<\/p>\n<h2>C\u00f3mo protegerse de dichos ataques<\/h2>\n<p>Los ataques de <em>ransomware<\/em> dirigidos a empresas han venido para quedarse y, por ello, te dejamos unas recomendaciones est\u00e1ndar para protegerte de ellos:<\/p>\n<ul>\n<li>Ten el software actualizado siempre, en especial el sistema operativo (muchos troyanos explotan vulnerabilidades conocidas).<\/li>\n<li>Utiliza un protocolo de escritorio remoto para denegar el acceso p\u00fablico a los sistemas de la empresa (o, si es necesario, usa una VPN).<\/li>\n<li>Capacita a tus empleados en cuestiones b\u00e1sicas de ciberseguridad. A menudo, lo que permite que los <em>ransomware<\/em> troyanos infecten las redes corporativas son las t\u00e1cticas de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/social-engineering\/\" target=\"_blank\" rel=\"noopener\">ingenier\u00eda social<\/a>.<\/li>\n<li>Emplea lo \u00faltimo en soluciones de seguridad con tecnolog\u00edas <em>antiransomware. <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Nuestros productos<\/a><\/em> detectan WastedLocker y previenen la infecci\u00f3n.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos realizan un extenso an\u00e1lisis t\u00e9cnico del sospechoso principal en el ataque de ransomware a Garmin.<\/p>\n","protected":false},"author":2706,"featured_media":19792,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[638,472],"class_list":{"0":"post-19791","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-amenazas","9":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/wastedlocker-garmin-incident\/19791\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wastedlocker-garmin-incident\/21644\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wastedlocker-garmin-incident\/17107\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/wastedlocker-garmin-incident\/8467\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/wastedlocker-garmin-incident\/22971\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wastedlocker-garmin-incident\/21158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wastedlocker-garmin-incident\/23590\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/wastedlocker-garmin-incident\/22464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/wastedlocker-garmin-incident\/28840\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wastedlocker-garmin-incident\/8649\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wastedlocker-garmin-incident\/36626\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wastedlocker-garmin-incident\/15400\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wastedlocker-garmin-incident\/15808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/wastedlocker-garmin-incident\/13743\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wastedlocker-garmin-incident\/24829\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/wastedlocker-garmin-incident\/11780\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/wastedlocker-garmin-incident\/28927\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/wastedlocker-garmin-incident\/25760\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/wastedlocker-garmin-incident\/22688\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wastedlocker-garmin-incident\/27934\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wastedlocker-garmin-incident\/27764\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=19791"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19791\/revisions"}],"predecessor-version":[{"id":20283,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19791\/revisions\/20283"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/19792"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=19791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=19791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=19791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}