A la caza de las corporaciones: los 5 principales grupos de ransomware

Los grupos más activos que atacan a las empresas, cifran sus datos y exigen un alto rescate.

En los últimos cinco años, el ransomware ha evolucionado de ser una amenaza para los ordenadores de particulares a representar un peligro serio para las redes corporativas. Los ciberdelincuentes, que antes se dedicaban simplemente a infectar la mayor cantidad posible de ordenadores, ahora tienen como objetivo a los peces gordos. Los ataques a las organizaciones comerciales y a entidades gubernamentales requieren de una organización muy cuidadosa, pero podrían dar lugar a recompensas de decenas de millones de dólares.

Las bandas de ransomware explotan la influencia financiera de las empresas, que tiende a ser mucho mayor que la de los usuarios ordinarios. Es más, muchos grupos de ransomware actuales roban datos antes del cifrado, con lo que añaden a la ecuación la amenaza de publicar los datos para ejercer más presión. Para la empresa afectada, esto supone todo tipo de riesgos: desde el daño a la reputación a los problemas con grupos de interés o hasta multas de los reguladores, lo que con frecuencia suma más que el rescate.

De acuerdo con nuestros datos, el 2016 fue un año decisivo. En unos cuantos meses, la cantidad de ciberataques con ransomware a las organizaciones se triplicaron: mientras que en enero del 2016 registramos un incidente cada 2 minutos como media, a finales de septiembre, el intervalo se había reducido a 40 segundos.

Desde el 2019, los expertos se han encontrado de forma regular con campañas dirigidas de una serie de ransomware conocido como ataques de caza mayor (big-game-hunting en inglés). Los propios sitios de los operadores del malware muestran las estadísticas de estos ataques. Por lo que hemos utilizado estos datos para recopilar una clasificación de los grupos de ciberdelincuentes más activos.

1. Maze (también conocido como el ransomware ChaCha)

El ransomware Maze, visto por primera vez en el 2019, ascendió rápidamente a la primera posición en su tipo de malware. De la cantidad total de víctimas, este ransomware es responsable de más de un tercio de los ataques. El grupo responsable de Maze fue uno de los primeros en robar datos antes de cifrarlos. Si la víctima se negaba a pagar el rescate, los ciberdelincuentes amenazaban con publicar los archivos robados. La técnica demostró su eficacia y más tarde fue adoptada por muchas otras operaciones de ransomware, entre que las que se incluyen REvil y DoppelPaymer, de las que hablaremos más adelante.

Otra innovación es que los ciberdelincuentes comenzaron a informar sobre sus ataques a los medios. De hecho, a finales del 2019, el grupo de Maze habló con Bleeping Computer sobre su ataque a la empresa Allied Universal, adjuntando algunos archivos robados a modo de prueba. En sus conversaciones por correo electrónico con los editores del sitio web, el grupo amenazó con enviar spam desde los servidores de Allied Universal y más tarde publicó los datos confidenciales robados a la empresa en el foro de Bleeping Computer.

Los ataques de Maze continuaron hasta septiembre del 2020, cuando el grupo comenzó a reducir sus operaciones, aunque no antes de que varias corporaciones internacionales, un banco estatal en Latinoamérica y un sistema de información de una ciudad en Estados Unidos hubieran sufrido sus actividades. En cada uno de esos casos, los operadores de Maze exigieron varios millones de dólares a las víctimas.

2. Conti (también conocido como el ransomware IOCP)

Conti apareció a finales del 2019 y estuvo muy activo durante el 2020; fue responsable de más del 13 % de todas las víctimas de ransomware durante ese periodo. Sus creadores siguen en activo.

Un detalle interesante sobre los ataques de Conti es que los ciberdelincuentes ofrecen ayuda a la empresa a la que se dirigen con su seguridad a cambio de que se comprometa a pagar. Les dicen que les darán instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; además, les recomiendan un software especial que es el que más problemas da a los ciberdelinceuntes.

Como con Maze, el ransomware no solo cifra, sino que también envía copias de los archivos desde los sistemas atacados a los operadores del ransomware. Después, los ciberdelincuentes amenazan con publicar la información online si la víctima no cumple con sus exigencias. Entre los ataques de Conti de más alto perfil se encuentra el ataque a una escuela de los Estados Unidos, seguido de una demanda de rescate de 40 millones de dólares. (La administración afirmó que habría afrontado hasta un pago de 500000 dólares, pero que no iba a negociar una suma tan desorbitad como la que proponían).

3. REvil (también conocido como el ransomware Sodin, Sodinokibi)

Los primeros ataques con el ransomware REvil se detectaron en Asia durante el 2019. El malware rápidamente llamó la atención de los expertos debido a sus habilidades técnicas, como su uso de funciones legítimas de la CPU para evadir los sistemas de seguridad. Además, su código incluía señales características de haber sido creado para su alquiler.

En las estadísticas totales, las víctimas de REvil suman un 11 %. El malware afectó a casi 20 sectores empresariales. La porción más grande de víctimas pertenece a los sectores de la ingeniería y manufacturación (el 30 %), seguidos de finanzas (el 14 %), los servicios profesionales y de consumo (el 9 %), legal (el 7 %) e informática y telecomunicaciones (el 7 %). En esta última categoría se encuentra uno de los ataques de ransomware de más alto perfil del 2019, cuando los ciberdelincuentes atacaron a varios proveedores de servicios gestionados (MSP por sus siglas en inglés) y distribuyeron Sodinokibi entre sus clientes.

El grupo actualmente ostenta el récord de la demanda de rescate más alta vista hasta ahora: de 50 millones de dólares a Acer en marzo del 2021.

4. Netwalker (también conocido como el ransomware Mailto)

De la cantidad total de víctimas, Netwalker es responsable de más del 10 %. Entre sus objetivos se encuentran gigantes de la logística, grupos industriales, corporaciones energéticas y otras grandes corporaciones. En solo unos cuantos meses del 2020, los ciberdelincuentes se hicieron con más de 25 millones de dólares.

Sus creadores parecen estar decididos a llevar el ransomware a las masas. Ofrecieron alquilar Netwalker a estafadores solitarios a cambio de una porción de la ganancia por el ataque. De acuerdo con Bleeping Computer, la ganancia del distribuidor del malware podría alcanzar el 70 % del rescate, aunque en estas situaciones normalmente se les paga a los socios mucho menos.

Como prueba de su intención, los ciberdelincuentes publicaron capturas de pantalla de grandes transferencias de dinero. Para que el proceso de alquiler sea lo más cómodo posible, crean un sitio web para publicar de forma automática los datos robados después de la fecha límite del rescate.

En enero del 2021, la policía se apoderó de los recursos de Netwalker en la dark web y acusó al ciudadano canadiense Sebastien Vachon-Desjardins de obtener más de 27,6 millones de dólares en actividades de extorsión. Vachon-Desjardins era el responsable de encontrar víctimas, violar su seguridad y desplegar Netwalker en sus sistemas. La operación policial acabó con Netwalker.

5. El ransomware DoppelPaymer

El último villano de nuestra redada es DoppelPaymer, un ransomware cuyas víctimas conforman el 9 % dn las estadísticas totales. Sus creadores también dejaron huella con otro malware, incluido el troyano bancario Dridex y el ransomware ahora extinto BitPaymer (es decir, FriedEx), que se considera una versión previa de DoppelPaymer. Por lo que la cantidad total de víctimas de este grupo es mucho más grande.

Las organizaciones comerciales atacadas por DopplerPaymer incluyen fabricantes de electrónica y automóviles, así como una gran compañía petrolera latinoamericana. Con frecuencia, DoppelPaymer dirige sus ataques a organizaciones gubernamentales en todo el mundo, incluidos servicios de sanidad, emergencia y educación. El grupo también llegó a los titulares después de publicar información de los votantes robada del Condado de Hall, en Georgia, y recibir 500.000 dólares del Condado de Delaware, Pennsylvania, ambos en los Estados Unidos. Los ataques de DoppelPaymer siguen en activo: en febrero de este año, un organismo de investigación europeo anunció que habían sido sufrido un ataque.

Métodos de ataque dirigido

Cada ataque dirigido a una gran empresa es resultado de un proceso largo para encontrar vulnerabilidades en la infraestructura, diseñar un escenario y seleccionar las herramientas adecuadas. Después ocurre la penetración que esparce el malware en toda la infraestructura corporativa. A veces, los ciberdelincuentes permanecen dentro de una red corporativa durante varios meses antes de cifrar los archivos y emitir la demanda.

Las principales trayectorias hacia la infraestructura tienen lugar mediante:

  • Conexiones de acceso remoto con seguridad deficiente. Las conexiones de RDP (protocolo de escritorio remoto por sus siglas en inglés) vulnerables son un medio tan común para llevar malware que los grupos ofrecen servicios en el mercado negro para explotarlo. Cuando una gran parte del mundo pasó a trabajar en remoto, la cantidad de ataques de este tipo se elevó por las nubes. Así operan las campañas de ransomware Ryuk, REvil y otras.
  • Vulnerabilidades de aplicaciones del servidor. Los ataques al software del lado del servidor dan acceso a los ciberdelincuentes a los datos más sensibles. En marzo tuvimos un ejemplo reciente, cuando el ransomware DearCry atacó mediante una vulnerabilidad de día cero a Microsoft Exchange. El software de lado del servidor que carece de la protección suficiente puede funcionar como punto de entrada para un ataque dirigido. Los problemas de seguridad también surgen en los servidores VPN de las empresas. Algunos ejemplos los vimos el año pasado.
  • Entrega mediante Botnet. Para garantizar más víctimas e incrementar las ganancias, los operadores de ransomware utilizan botnets. Los operadores de las redes zombi proporcionan a otros ciberdelincuentes el acceso a miles de dispositivos comprometidos, que automáticamente buscan sistemas vulnerables y descargan ransomware en estos. Es por esto, por ejemplo, que los ransomware Conti y DoppelPaymer se expandieron.
  • Ataques a la cadena de suministro. La campaña de REvil ilustra muy bien este vector de amenaza: el grupo comprometió a un proveedor de MSP y después distribuyó el ransomware a las redes de sus clientes.
  • Archivos adjuntos maliciosos. Los correos electrónicos que incluyen macros maliciosos en documentos Word adjuntos siguen siendo opción popular para la entrega de malware. Uno de nuestros 5 villanos principales, NetWalker, utilizó archivos adjuntos maliciosos para atraer víctimas: sus operadores enviaban correos electrónicos con el asunto “COVID-19”.

Cómo mantenerte seguro como empresa

  • Forma a tus empleados en la materia de higiene digital. Los empleados deben saber qué es el phishing y que no deben hacer clic en enlaces de correos electrónicos sospechosos o descargar archivos de sitios dudosos, además de saber crear, recordar y almacenar contraseñas seguras. Realiza formaciones periódicas sobre seguridad de la información no solo para minimizar el riesgo de incidentes, sino también para mitigar el daño en caso de que los atacantes logren penetrar en la red.
  • Actualiza con regularidad todos los sistemas operativos y aplicaciones para garantizar la máxima protección contra ataques mediante las vulnerabilidades de software Asegúrate de actualizar el software tanto del lado del cliente como del lado del servidor.
  • Realiza auditorías de seguridad, revisa la seguridad de los equipos y mantente al tanto de los puertos abiertos y accesibles desde Internet. Utiliza una conexión segura para el teletrabajo, pero recuerda que incluso las VPN pueden ser vulnerables.
  • Crea copias de seguridad de los datos corporativos. Contar con copias de seguridad te ayuda no solo a reducir el tiempo muerto y restaurar los procesos empresariales más rápido en caso de un ataque de ransomware, sino también a recuperarte de eventos cotidianos como los problemas en el hardware.
  • Utiliza una solución de seguridad profesional que emplee el análisis de comportamiento y tecnologías contra el ransomware.
  • Implementa un sistema de seguridad de la información que sea capaz de reconocer anomalías en la infraestructura de la red, tales como los intentos de sondeo de puertos o las solicitudes para acceder a sistemas no estandarizados. Recurre a la participación de expertos externos si no tienes especialistas internos que puedan monitorizar la red.
Consejos