Imagina a tres ‘kraken’ intentando hundir el mismo barco: así opera el ransomware simultáneo

Sophos realizó un reporte técnico en el que describe la forma en la que Hive, LockBit y BlackCat, tres destacados grupos de ransomware, atacan y colaboran para vulnerar un mismo sistema.

Sophos, líder mundial en ciberseguridad de última generación, publicó un informe técnico llamado "Multiple Attackers: A Clear and Present Danger", en el que describe la forma en la que Hive, LockBit y BlackCat, tres destacadas bandas de ransomware, atacaron consecutivamente a la misma red. 

Los primeros dos ataques tuvieron lugar en un periodo de dos horas, mientras el tercero se desarrolló dos semanas después. Cada grupo de ransomware dejó su propia demanda de pago por rescate, y algunos de los archivos fueron triplemente encriptados.

"Ya es bastante malo recibir una nota de ransomware, pero más aún tres", dijo John Shier, asesor principal de seguridad de Sophos. “Tener a múltiples atacantes simultáneamente genera un nivel completamente nuevo de complejidad para la recuperación, particularmente cuando los archivos de red están triplemente encriptados. La ciberseguridad que incluye prevención, detección y respuesta es fundamental para organizaciones de cualquier tamaño y tipo; ninguna empresa es inmune”.

El documento técnico describe, además, casos adicionales de ciberataques superpuestos, incluidos criptomineros, troyanos de acceso remoto (RAT) y bots. En el pasado, cuando varios atacantes se dirigían al mismo sistema, generalmente lo hacían en periodos de meses, o hasta durante varios años. 

Por el contrario, los ataques descritos en el documento técnico de Sophos tuvieron lugar con días o semanas de diferencia y, en un particular caso, simultáneamente, e incluso accedieron a la red del objetivo a través del mismo punto de entrada vulnerable.

Generalmente, los grupos delictivos compiten por los recursos que robarán, lo que dificulta que varios atacantes operen simultáneamente. Por ello, por ejemplo los criptomineros normalmente eliminan a sus competidores en el mismo sistema, y ​​las RAT de hoy en día destacan por su capacidad de eliminación de bots como una característica particular. 

Sin embargo, en el ataque que involucró a los tres grupos de ransomware, se vio que BlackCat, el último grupo de ransomware en el sistema, no solo eliminó los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y Hive. 

En otro caso, el ransomware LockBit infectó un sistema. Luego, unos tres meses después, los miembros de Karakurt Team, un grupo con vínculos con el grupo Conti, aprovecharon la puerta trasera que LockBit creó para robar datos y retenerlos para pedir un rescate.

“En general, los grupos de ransomware no parecen abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente que los afiliados trabajen con la competencia, como se indica en el documento técnico de Sophos”, dijo Shier. “No tenemos evidencia de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de 'recursos' en un mercado cada vez más competitivo. O tal vez creen que cuanto más presión se ejerce sobre un objetivo, es decir, múltiples ataques, más probable es que las víctimas paguen”, añade.

“Tal vez estén teniendo discusiones a un alto nivel, alcanzando acuerdos mutuamente beneficiosos, por ejemplo, donde un grupo encripta los datos y el otro los extrae. En algún momento, estos grupos tendrán que decidir cómo se sienten acerca de la cooperación, ya sea para abrazarla más o volverse más competitivos. Por ahora, el campo de juego está abierto para múltiples ataques por parte de diferentes grupos”, señala el especialista.

La mayoría de las infecciones iniciales de los ataques destacados en el documento técnico de Sophos ocurrieron a través de una vulnerabilidad sin parches, siendo algunas de las más notables Log4Shell, ProxyLogon y ProxyShell. También se detectaron algunas mediante servidores de protocolo de escritorio remoto (RDP) no seguros y mal configurados. 

En la mayoría de los casos que involucran a múltiples atacantes, las víctimas no lograron remediar el ataque inicial de manera efectiva, dejando la puerta abierta para futuras actividades delictivas. En esos casos, las mismas configuraciones incorrectas de RDP, así como aplicaciones como RDWeb o AnyDesk, se convirtieron en una vía fácilmente explotable para ataques de seguimiento. De hecho, los servidores RDP y VPN expuestos son algunos de los listados más populares que se venden en la web oscura.

“Como se señaló en el último Active Adversary Playbook, en 2021 Sophos comenzó a ver que las organizaciones eran víctimas de múltiples ataques simultáneamente e indicó que esta puede ser una tendencia creciente”, dijo Shier. “Si bien el aumento de múltiples atacantes todavía se basa en evidencia anecdótica, la disponibilidad de sistemas explotables brinda a los ciberdelincuentes una amplia oportunidad para continuar avanzando en esta dirección”.

Para obtener más información sobre múltiples ataques cibernéticos, incluida una mirada más detallada a la clandestinidad criminal y consejos prácticos sobre la protección de los sistemas, acuda al documento técnico completo.

 

Consigue actualizaciones en tu bandeja de correo

Al hacer clic en "Suscribirse", confirmo que he leído y acepto la Política de Privacidad.

Sobre Sophos Argentina

Sobre Sophos

Sophos es un líder mundial en ciberseguridad de próxima generación y protege a más de 500.000 organizaciones y millones de consumidores en más de 150 países de las ciberamenazas más avanzadas de la actualidad. Con tecnología de inteligencia de amenazas, inteligencia artificial y aprendizaje automático de SophosLabs y SophosAI, Sophos ofrece una amplia cartera de productos y servicios avanzados para proteger a los usuarios, las redes y los puntos finales contra ransomware, malware, exploits, phishing y una amplia gama de otros ciberataques. Sophos proporciona una única consola de gestión integrada basada en la nube, Sophos Central, la pieza central de un ecosistema de ciberseguridad adaptable que cuenta con un lago de datos centralizado que aprovecha un amplio conjunto de API abiertas disponibles para clientes, socios, desarrolladores y otros proveedores de ciberseguridad. Sophos vende sus productos y servicios a través de socios revendedores y proveedores de servicios administrados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. 

Hay más información disponible en www.sophos.com