¿Cómo es el ransomware que afecta a los milmillonarios?

Los ataques ransomware se han convertido en la amenaza más temida por las empresas de todo tipo, desde las más grandes hasta las más pequeñas.

Además, este tipo de ataques ha evolucionado a lo largo del tiempo, con el fin de aumentar la coerción ejercida a las compañías para que cedan al chantaje y abonen el pago exigido. Por ejemplo, estamos viendo ataques de doble y triple extorsión, en los que los ciberdelincuentes, además de cifrar los datos y solicitar un rescate para recuperar el control sobre los mismos, también roban la información y amenazan con filtrarla. Incluso se están produciendo ataques de triple extorsión, en los que se demanda a los clientes de las empresas afectadas el pago de una cantidad menor para que sus datos no sean publicados.

A la par, el pago medio solicitado para recuperar los datos se ha disparado, creciendo un 171% en el último año, hasta situarse en 312.493 dólares, según el informe ‘2021 Unit 42 Ransomware Threat Report’, de Palo Alto Networsks. Y en algunos casos, las cantidades exigidas son escandalosas. Por ejemplo, el grupo REvil reclamó 50 millones de dólares a Acer para desencriptar sus datos. Y esta misma semana, el mismo grupo ha atacado a JBS, una de las empresas cárnicas más grandes del mundo, se ha visto obligada a abonar 11 millones de dólares para recuperar sus datos. Asimismo, se cree que Garmin podría haber cedido al chantaje de Evil Corp., pagando 10 millones de dólares. Y Colonial Pipeline también ha reconocido haber satisfecho un rescate de 4,4 millones de dólares a DarkSide.

En una línea similar, Nefilim se enfoca en empresas con ingresos por encima de los 1.000 millones de dólares, convirtiéndose en el grupo que obtiene los mayores ingresos medios. Según explica el informe ‘Modern ransomware’s double extortion tactics and how to protect enterprises against them’, elaborado por Trend Micro, este grupo perpetra lo que denomina “ataques modernos de ransomware”.

Dicho estudio desvela cuál es el modus operandi de Nefilim en estos ataques. En primer lugar, el grupo consigue un acceso inicial que explota credenciales débiles en servicios RDP expuestos u otros servicios HTTP de cara al exterior. Una vez dentro, emplea herramientas de administración legítimas para el movimiento lateral, con el objetivo de encontrar sistemas valiosos para el robo de datos y el cifrado.

Después, se configura un sistema de ‘llamada a casa’ con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS. Asimismo, se utilizar ‘servicios de alojamiento a prueba de balas’ para los servidores Comando & Control (C&C).

Cuando todo está preparado, se exfiltran los datos y se publican en sitios web protegidos por TOR, con el fin de chantajear a las víctimas. Nefilim publicó alrededor de 2 TB de datos el año pasado. Finalmente, cuando se han extraído suficientes datos, la carga útil del ransomware se lanza manualmente.

Trend Micro advierte que estos grupos cibercriminales están usando herramientas legítimas, como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para que sus ataques ransomware permanezcan ocultos. La compañía señala que la utilización de estas herramientas dificulta que los analistas de los SOC que examinan los registros de eventos tengan una visión general del panorama general y detecten los ataques, facilitando que los ciberdelincuentes alcancen sus objetivos.