Cazadores de corporaciones: los 5 principales grupos de ransomware

En los últimos cinco años, el ransomware ha  evolucionado de ser una amenaza para las computadoras individuales a representar un peligro serio para las redes corporativas. Los cibercriminales ya dejaron de solamente tratar de infectar la mayor cantidad posible de computadoras y ahora su objetivo son peces gordos. Los ataques a las organizaciones comerciales y a entidades gubernamentales requieren de organización cuidadosa, pero potencialmente podrían resultar en recompensas de decenas de millones de dólares.

Las bandas de ransomware explotan la influencia financiera de las empresas, que tiende a ser mucho mayor que la de los usuarios ordinarios. Es más, muchos grupos de ransomware modernos roban datos antes del cifrado, con lo que se agrega la amenaza de publicar para ejercer más presión. Para la empresa afectada, esto acumula todo tipo de riesgos, desde daño a la reputación a problemas con grupos de interés, hasta multas de los reguladores, lo que con frecuencia suma más que el rescate.

De acuerdo con nuestros datos, el 2016 fue un parteaguas. En unos cuantos meses, la cantidad de ciberataques con ransomware a las organizaciones se triplicaron: mientras que en enero de 2016 registramos un incidente cada 2 minutos en promedio, para finales de septiembre, el intervalo se había reducido a 40 segundos.

Desde 2019, los expertos han observado de manera regular campañas dirigidas de una serie de ransomware llamados cazadores de grandes recompensas (big-game-hunting). Los propios sitios de los operadores del malware muestran estadísticas de ataques. Utilizamos estos datos para compilar un ranking de los grupos cibercriminales más activos.

1. Maze (también conocido como ransomware ChaCha)

El ransomware Maze, visto por primera vez en 2019, ascendió rápidamente al primer lugar en su tipo de malware. De la cantidad total de víctimas, este ransomware es responsable de más de un tercio de los ataques. El grupo detrás de Maze fue uno de los primeros en robar datos antes de cifrarlos. Si la víctima se rehusaba a pagar el rescate, los cibercriminales amenazaban con publicar los archivos robados. La técnica demostró su efectividad y más tarde fue adoptada por muchas otras operaciones de ransomware, incluidas REvil y DoppelPaymer, de las que hablaremos más adelante.

Otra innovación es que los cibercriminales comenzaron a informar sus ataques a los medios. A finales de 2019, el grupo de Maze habló con Bleeping Computer sobre su pirateo a la empresa Allied Universal, a lo que adjuntó algunos archivos robados como evidencia. En sus conversaciones por correo electrónico con los editores del sitio web, el grupo amenazó con enviar spam desde los servidores de Allied Universal, y más tarde publicó los datos confidenciales pirateados de la empresa en el foro de Bleeping Computer.

Los ataques de Maze continuaron hasta septiembre de 2020, cuando el grupo comenzó a reducir sus operaciones, aunque no antes de que varias corporaciones internacionales, un banco estatal en Latinoamérica y un sistema de información de una ciudad en Estados Unidos hubieran padecido con sus actividades. En cada uno de esos casos, los operadores de Maze exigieron varios millones de dólares de las víctimas.

2. Conti (también conocido como ransomware IOCP)

Conti apareció a finales de 2019, y estuvo muy activo durante 2020; fue responsable de más de 13% de todas las víctimas de ransomware durante este periodo. Sus creadores siguen activos.

Un detalle interesante sobre los ataques de Conti es que los cibercriminales ofrecen ayuda a la empresa objetivo con su seguridad a cambio de que se comprometa a pagar. Les dicen que les darán instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; además, les recomendaran un software especial que es el que más problemas les da a los hackers.”

Como con Maze, el ransomware no solo cifra, sino también envía copias de los archivos desde los sistemas pirateados a los operadores del ransomware. Posteriormente, los cibercriminales amenazan con publicar la información en línea si la víctima no cumple con sus exigencias. Entre los ataques de Conti de más alto perfil está el ataque a una escuela en los Estados Unidos., seguido de una demanda de rescate de $40 millones de dólares. (La administración dijo haber estado lista para pagar $500,000 dólares, pero que no iban a negociar una suma de 80 veces esa cantidad.)

3. REvil (también conocido como ransomware Sodin, Sodinokibi)

Los primeros ataques con el ransomware REvil se detectaron en Asia en 2019. El malware rápidamente llamó la atención de los expertos debido a sus habilidades técnicas, como su uso de funciones legítimas de CPU para evadir los sistemas de seguridad. Además, su código incluía señales características de haber sido creado para alquiler.

En las estadísticas totales, las víctimas de REvil suman un 11%. El malware afectó a casi 20 sectores empresariales. La porción más grande de víctimas está en los sectores de ingeniería y fabricación (30%), seguidos de finanzas (14%), servicios profesionales y de consumo (9%), legal (7%) y TI y telecomunicaciones (7%). En esta última categoría se encuentra uno de los ataques de ransomware de más alto perfil de 2019, cuando los cibercriminales piratearon a varios proveedores de servicios gestionados (MSP) y distribuyeron Sodinokibi entre sus clientes.

El grupo actualmente ostenta el récord de la demanda de rescate más grande hasta ahora: de $50 millones de dólares a Acer en marzo de 2021.

4. Netwalker (también conocido como ransomware Mailto)

De la cantidad total de víctimas, Netwalker es responsable de más de 10%. Entre sus objetivos están gigantes de la logística, grupos industriales, corporaciones energéticas y otras organización grandes. En solo unos cuantos meses en 2020, los cibercriminales se hicieron de más de $25 millones de dólares.

Sus creadores parecen estar determinados a llevar el ransomware a las masas. Ofrecieron alquilar Netwalker a estafadores solitarios a cambio de una porción de la ganancia por el ataque. De acuerdo con Bleeping Computer, la ganancia del distribuidor del malware podría llegar a 70% del rescate, aunque en estas estratagemas normalmente se les paga a los socios mucho menos.

Como evidencia de su intención, los cibercriminales publican capturas de pantalla de grandes transferencias de dinero. Para que el proceso de alquiler sea lo más cómodo posible, arman un sitio web para publicar de manera automática los datos robados después de la fecha límite para el rescate.

En enero de 2021, la policía se apoderó de los recursos de Netwalker en la dark web y acusó al ciudadano canadiense Sebastien Vachon-Desjardins de obtener más de $27.6 millones de dólares en actividades de extorsión. Vachon-Desjardins era responsable de encontrar víctimas, violar su seguridad y desplegar Netwalker en sus sistemas. La operación policial acabó con Netwalker.

5. Ransomware DoppelPaymer

El último villano de nuestra redada es DoppelPaymer, un ransomware cuyas víctimas conforman el 9% en las estadísticas totales. Sus creadores también dejaron huella con otro malware, incluido el troyano bancario Dridex y el ransomware ahora extinto BitPaymer (es decir, FriedEx), que se considera una versión previa de DoppelPaymer. De manera que la cantidad total de víctimas de este grupo es mucho más grande.

Las organizaciones comerciales atacadas por DopplerPaymer incluyen fabricantes de electrónicos y automóviles, así como a una gran empresa petrolea latinoamericana. Con frecuencia, DoppelPaymer dirige sus ataques a organizaciones gubernamentales en todo el mundo, incluidos servicios de salud, emergencia y educación. El grupo también llegó a los titulares después de publicar información de los votantes robada del Condado de Hall, en Georgia, y recibir $500,000 dólares del Condado de Delaware, Pennsylvania, ambos en los Estados Unidos. Los ataques de DoppelPaymer continúan hasta ahora: en febrero de este año, un organismo de investigación europeo anunció que habían sido hackeados.

Métodos de ataque dirigido

Cada ataque dirigido a una empresa grande es resultado de un proceso largo para encontrar vulnerabilidades en la infraestructura, diseñar un escenario y seleccionar herramientas. Después ocurre la penetración que esparce el malware en toda la infraestructura corporativa. Los cibercriminales a veces permanecen dentro de una red corporativa durante varios meses antes de cifrar los archivos y emitir la demanda.

Las principales trayectorias hacia la infraestructura son mediante:

• Conexiones de acceso remoto con seguridad deficiente. Las conexiones de RDP (protocolo de escritorio remoto) vulnerables son un medio tan común para llevar malware que los grupos en el mercado negro ofrecen servicios para explotarlo. Cuando una gran parte del mundo pasó a trabajar de manera remota, la cantidad de ataques de este tipo se elevó por las nubes. Así operan las campañas de ransomware Ryuk, REvil y otras.
• Vulnerabilidades de aplicaciones del servidor. Los ataques al software del lado del servidor dan acceso a los cibercriminales a los datos más sensibles. En marzo tuvimos un ejemplo reciente, cuando el ransomware DearCry atacó mediante una vulnerabilidad de día cero en Microsoft Exchange. El software de lado del servidor que carece de la protección suficiente puede funcionar como punto de entrada para un ataque dirigido. Los problemas de seguridad también surgen en los servidores VPN de las empresas. Algunos ejemplos los vimos el año pasado.
• Entrega mediante Botnet. Para garantizar más víctimas e incrementar las ganancias, los operadores de ransomware utilizan botnets. Los operadores de las redes zombi proporcionan a otros cibercriminales el acceso a miles de dispositivos comprometidos, los cuales automáticamente buscan sistemas vulnerables y descargan ransomware en estos. Es por esto, por ejemplo, que el ransomware Conti y DoppelPaymer se expandieron.
• Ataques a la cadena de suministro. La campaña de REvil ilustra muy bien este vector de amenaza: el grupo comprometió a un proveedor de MSP y después distribuyó el ransomware a las redes de sus clientes.
• Archivos adjuntos maliciosos. Los correos electrónicos que incluyen macros maliciosos en documentos Word adjuntos es todavía una opción popular para la entrega de malware. Uno de nuestros 5 villanos principales, NetWalker, utilizó archivos adjuntos maliciosos para atraer víctimas: sus operadores enviaron correos electrónicos con el asunto “COVID-19”.

Cómo mantenerte seguro como empresa

• Capacita a tus empleados en higiene digital. Los empleados deben saber qué es el phishing, nunca hacer clic en enlaces de correos electrónicos sospechosos o descargar archivos de sitios dudosos, y resguardar contraseñas seguras. Realiza capacitaciones periódicas sobre seguridad de la información no solo para minimizar el riesgo de incidentes, sino también para mitigar el daño en caso de que los atacantes logren penetrar en la red.
• Actualiza con regularidad todos los sistemas operativos y aplicaciones para garantizar máxima protección contra ataques mediante las vulnerabilidades de software conocidas. Asegúrate de actualizar el software tanto del lado del cliente como del lado del servidor.
• Realiza auditorías de seguridad, revisa la seguridad de los equipos, y mantente al tanto de los puertos abiertos y accesibles desde Internet. Utiliza una conexión segura para teletrabajo, pero recuerda que incluso las VPN pueden ser vulnerables.
• Crea copias de seguridad de los datos corporativos. Contar con copias de seguridad te ayuda no solo a reducir el tiempo muerto y restaurar los procesos empresariales más rápido en caso de un ataque de ransomware, sino también a recuperarte de eventos cotidianos como fallas en el hardware.
• Utiliza una solución de seguridad profesional que emplee análisis del comportamiento y tecnologías contra el ransomware.
• Implementa un sistema de seguridad de la información que sea capaz de reconocer anomalías en la infraestructura de la red, tales como intentos de sondeo de puertos o solicitudes para acceder a sistemas no estándar. Involucra expertos externos si no tienes especialistas internos que puedan monitorear la red.