ARGENTINA NOTICIAS PORTADA SEGURIDAD

Cómo opera el ransomware simultáneo y sus peligros

Sophos, publicó un informe técnico llamado «Multiple Attackers: A Clear and Present Danger», en el que describe la forma en la que Hive, LockBit y BlackCat, tres destacadas bandas de ransomware, atacaron consecutivamente a la misma red (Fuente Sophos Latam). 

Los primeros dos ataques tuvieron lugar en un periodo de dos horas, mientras el tercero se desarrolló dos semanas después. Cada grupo de ransomware dejó su propia demanda de pago por rescate, y algunos de los archivos fueron triplemente encriptados.

«Ya es bastante malo recibir una nota de ransomware, pero más aún tres», dijo John Shier, asesor principal de seguridad de Sophos. “Tener a múltiples atacantes simultáneamente genera un nivel completamente nuevo de complejidad para la recuperación, particularmente cuando los archivos de red están triplemente encriptados. La ciberseguridad que incluye prevención, detección y respuesta es fundamental para organizaciones de cualquier tamaño y tipo; ninguna empresa es inmune”.

El documento técnico describe, además, casos adicionales de ciberataques superpuestos, incluidos criptomineros, troyanos de acceso remoto (RAT) y bots. En el pasado, cuando varios atacantes se dirigían al mismo sistema, generalmente lo hacían en periodos de meses, o hasta durante varios años. 

Por el contrario, los ataques descritos en el documento técnico de Sophos tuvieron lugar con días o semanas de diferencia y, en un particular caso, simultáneamente, e incluso accedieron a la red del objetivo a través del mismo punto de entrada vulnerable.

Generalmente, los grupos delictivos compiten por los recursos que robarán, lo que dificulta que varios atacantes operen simultáneamente. Por ello, por ejemplo los criptomineros normalmente eliminan a sus competidores en el mismo sistema, y ​​las RAT de hoy en día destacan por su capacidad de eliminación de bots como una característica particular. 

Sin embargo, en el ataque que involucró a los tres grupos de ransomware, se vio que BlackCat, el último grupo de ransomware en el sistema, no solo eliminó los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y Hive. 

En otro caso, el ransomware LockBit infectó un sistema. Luego, unos tres meses después, los miembros de Karakurt Team, un grupo con vínculos con el grupo Conti, aprovecharon la puerta trasera que LockBit creó para robar datos y retenerlos para pedir un rescate.

“En general, los grupos de ransomware no parecen abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente que los afiliados trabajen con la competencia, como se indica en el documento técnico de Sophos”, dijo Shier. “No tenemos evidencia de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de ‘recursos’ en un mercado cada vez más competitivo. O tal vez creen que cuanto más presión se ejerce sobre un objetivo, es decir, múltiples ataques, más probable es que las víctimas paguen”, añade.

“Tal vez estén teniendo discusiones a un alto nivel, alcanzando acuerdos mutuamente beneficiosos, por ejemplo, donde un grupo encripta los datos y el otro los extrae. En algún momento, estos grupos tendrán que decidir cómo se sienten acerca de la cooperación, ya sea para abrazarla más o volverse más competitivos. Por ahora, el campo de juego está abierto para múltiples ataques por parte de diferentes grupos”, señala el especialista.

La mayoría de las infecciones iniciales de los ataques destacados en el documento técnico de Sophos ocurrieron a través de una vulnerabilidad sin parches, siendo algunas de las más notables Log4Shell, ProxyLogon y ProxyShell. También se detectaron algunas mediante servidores de protocolo de escritorio remoto (RDP) no seguros y mal configurados. 

En la mayoría de los casos que involucran a múltiples atacantes, las víctimas no lograron remediar el ataque inicial de manera efectiva, dejando la puerta abierta para futuras actividades delictivas. En esos casos, las mismas configuraciones incorrectas de RDP, así como aplicaciones como RDWeb o AnyDesk, se convirtieron en una vía fácilmente explotable para ataques de seguimiento. De hecho, los servidores RDP y VPN expuestos son algunos de los listados más populares que se venden en la web oscura.

“Como se señaló en el último Active Adversary Playbook, en 2021 Sophos comenzó a ver que las organizaciones eran víctimas de múltiples ataques simultáneamente e indicó que esta puede ser una tendencia creciente”, dijo Shier. “Si bien el aumento de múltiples atacantes todavía se basa en evidencia anecdótica, la disponibilidad de sistemas explotables brinda a los ciberdelincuentes una amplia oportunidad para continuar avanzando en esta dirección”.

A %d blogueros les gusta esto: