¿Cómo se produce un triple ciberataque de ransomware? Sophos analiza casos reales cada vez más complejos

¿Cómo pueden las empresas españolas luchar contra un ransomware cada vez más consolidado?

Sophos ha desvelado que Hive, LockBit y BlackCat, tres destacadas bandas de ransomware, atacaron consecutivamente la misma red, según se demuestra en el whitepaper de Sophos X-Ops Active Adversary, Multiple Attackers: A Clear and Present Danger. Los dos primeros ataques se produjeron en dos horas, y el tercero tuvo lugar dos semanas después. Cada banda de ransomware dejó su propia petición de rescate, y algunos de los archivos estaban triplemente encriptados.

«Ya es bastante malo recibir un aviso de ransomware, no digamos ya tres», dice John Shier, asesor principal de seguridad de Sophos. «Múltiples atacantes crean un nuevo nivel de complejidad para la recuperación, particularmente cuando los archivos de la red están triplemente encriptados». La ciberseguridad que incluye la prevención, la detección y la respuesta es fundamental para las empresas de cualquier tamaño y tipo; ninguna es inmune.»

En el whitepaper se describen también otros casos de ciberataques superpuestos, que fueron de criptominería, troyanos de acceso remoto (RAT) y bots. En el pasado, cuando varios atacantes han tenido como objetivo el mismo sistema, los ataques solían producirse a lo largo de muchos meses o varios años. Los ataques descritos en el informe de Sophos se produjeron con días o semanas de diferencia (en un caso, simultáneamente), y a menudo los distintos atacantes accedieron a la red del objetivo a través del mismo punto vulnerable de entrada.

Normalmente, los cibercriminales compiten por los recursos, lo que hace más difícil que varios atacantes operen simultáneamente. Los criptomineros normalmente acaban con sus competidores en el mismo sistema, y las RATs actuales suelen destacar la matanza de bots como una característica en los foros de los cibercriminales. Sin embargo, en el ataque en el que participaron estos tres grupos de ransomware, por ejemplo, BlackCat (el último grupo de ransomware detectado en el sistema) no sólo borró los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y de Hive. En otro caso, uno de los sistemas fue infectado por el ransomware LockBit. Después, unos tres meses más tarde, los miembros de Karakurt Team, un grupo cibercriminal vinculado a Conti, fueron capaces de aprovechar la puerta trasera creada por LockBit para robar datos y pedir un rescate por ellos.

«En general, los grupos de ransomware no parecen ser abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente a sus afiliados trabajar con sus competidores, como se indica en el informe de Sophos», indica Shier. «No tenemos pruebas de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de ‘recursos’ en un mercado cada vez más competitivo. O tal vez crean que cuanta más presión se ejerza sobre un objetivo (es decir, múltiples ataques), más probable será que las víctimas paguen. Tal vez mantengan conversaciones importantes, llegando a acuerdos mutuamente beneficiosos, por ejemplo, en los que un grupo encripta los datos y el otro los exfiltra. En algún momento, estos grupos tendrán que decidir qué opinan de su cooperación (si la adoptan o se vuelven más competitivos) pero, por ahora, el campo de juego está abierto para múltiples ataques de diferentes grupos.»

La mayoría de las infecciones iniciales de los ataques destacados en el informe se produjeron a través de una vulnerabilidad sin parchear, siendo algunas de las más notables Log4ShellProxyLogon y ProxyShell, o de servidores de Protocolo de Escritorio Remoto (RDPs) mal configurados y sin seguridad. En la mayoría de los casos en los que participaron varios atacantes, las víctimas no lograron remediar el ataque inicial de forma eficaz, dejando la puerta abierta a futuras actividades cibercriminales. En esos casos, las mismas desconfiguraciones de RDP, así como las aplicaciones como RDWeb o AnyDesk, se convirtieron en una vía fácilmente explotable para los ataques posteriores. De hecho, los servidores RDP y VPN expuestos son algunos de los listados más populares que se venden en la dark-web.

«Como se señala en el último Active Adversary Playbook, en 2021 Sophos comenzó a ver que las organizaciones eran víctimas de múltiples ataques de forma simultánea, e indicó que esto puede ser una tendencia en aumento», señala Shier. «Si bien el aumento de los atacantes múltiples todavía se basa en pruebas anecdóticas, la disponibilidad de sistemas explotables da a los ciberdelincuentes una amplia oportunidad para seguir dirigiéndose en esta dirección.»

Si queréis obtener más información sobre los ciberataques múltiples, incluyendo una mirada más cercana a la clandestinidad cibercriminal y consejos prácticos para salvaguardar los sistemas contra este tipo de ataques, os recomendamos leer el whitepaper completo, «Multiple Attackers: A Clear and Present Danger«, en Sophos.com.

Sobre el autor