No cabe duda que el ransomware ha sido y será (por ahora), la mayor amenaza que asedia a las organizaciones y particulares, desde su aparición “oficial” en 2013, evolucionando cada vez para mejorar sus capacidades de compromiso y cifrado.
El año 2022 los operadores de este malware comenzaron con mucho “ruido”, lanzando campañas en todo el mundo, con un claro foco de obtención de beneficio económico, sin embargo, ataques relacionados a destrucción de archivos en el escenario de la guerra entre Rusia y Ucrania, dieron un nuevo impulso al negocio del RaaS, al implementar una nueva “variante” que busca extorsionar sus víctimas, por medio de la destrucción de sus archivos.
Aunque la cantidad de ataques de ransomware informados se mantuvo estable durante abril, el grupo de ransomware Conti estuvo vinculado a al menos 50 incidentes en abril, incluido un ataque devastador contra agencias gubernamentales de Costa Rica.
El ataque provocó que el recién asumido presidente del país declarara el estado de emergencia, y el Departamento de Estado de EE. UU. ofrece una recompensa multimillonaria por información que conduzca a la identificación o arresto de miembros de Conti.
Un análisis respecto a este comportamiento y otras amenazas, se encuentra disponible en el “Panorama de Amenazas: Primer Trimestre 2022”.
Tendencias respecto a ataques de ransomware
Diferentes estudios han revelado un entorno de ataque cada vez más desafiante junto con la creciente carga financiera y operativa que el ransomware impone a sus víctimas. El ransomware continúa siendo una amenaza frecuente para casi todas las industrias modernas después de un renacimiento repentino al comienzo de la pandemia de COVID-19, ya que los actores de amenazas buscaron capitalizar a las organizaciones abrumadas y sus empleados repentinamente vulnerables.
Tendencia de ataques de ransomware por mes
Los hallazgos sugieren que es posible que se haya alcanzado un punto máximo en el viaje evolutivo del ransomware, donde la codicia de los atacantes por pagos de rescate cada vez mayores choca de frente con un endurecimiento del mercado de seguros cibernéticos a medida que las aseguradoras buscan cada vez más reducir su riesgo y exposición al ransomware.
Evolución del Ransomware
Como se menciona en el “Panorama de amenazas Q1 2022”, el ransomware ha evolucionado de acuerdo a la siguiente actualización de características:
Anatomía general de un ataque por Ransomware
En los últimos años, se ha vuelto cada vez más fácil para los ciberdelincuentes implementar ransomware, con casi todo disponible como servicio (RaaS), lo que definitivamente facilita que cualquier grupo de delincuentes con intenciones de entrar en el “negocio”, pueda concretarlo con el mínimo de esfuerzo e inversión.
Presencia en Chile y LATAM
Cabe destacar, que a medida que el modelo de negocio RaaS evoluciona, los objetivos de este también se expanden y buscan operar ampliamente en diferentes regiones del planeta, intentando mantener sigilosidad previa al despliegue de un ataque.
Variantes de Ransomware con mayor actividad
En este aspecto, durante la primera parte del año 2022, se ha evidenciado actividad de múltiples operadores de ransomware, destacando aquellos que han tenido objetivos en Chile, Perú y Costa Rica.
Ransom Conti en LATAM
De igual manera, se ha observado otras variantes de ransomware operando en Chile y otros países de LATAM, principalmente el ransomware Hive, cuyos últimos indicios lo vinculan a los operadores de Conti y Black Basta, poniendo en escena un nuevo panorama de operaciones que podrían observarse en un futuro cercano.
Los grupos de ransomware con presencia evidenciada en Chile en el último período, corresponden a:
El retorno de REvil
Este grupo se posicionó como una de las amenazas más peligrosas, hasta el cese de sus operaciones luego del ataque a Kaseya en 2021 y el posterior arresto de los integrantes del grupo, llevado a cabo en Rusia durante enero de 2022.
Sitio de leaks REvil
Sin embargo, durante las últimas semanas de abril y principios de mayo de 2022, investigadores observaron que el sitio onion del grupo, que había estado inactivo desde las operaciones contra Kaseya en 2021, nuevamente había sido reactivado, presentando nuevas víctimas.
DeadBolt Ransomware atacando dispositivos NAS
Este ransomware fue evidenciado en ataques que comenzaron el 25 de enero de 2022, cuando los dispositivos de QNAP se encontraron con sus archivos cifrados y a los nombres de los archivos se les agregó la extensión .deadbolt.
Una de las diferencias detectadas respecto a las notas de rescate de otros ransomware es que, en lugar de mostrar una nota de rescate en cada carpeta de estos dispositivos, este secuestra la página de inicio de sesión del dispositivo QNAP para mostrar una pantalla que dice “WARNING: Your files have been locked by DeadBolt”.
Nota de rescate DeadBolt
Sus actividades habían bajado durante los meses posteriores a enero de 2022, sin embargo, durante el mes de mayo, nuevamente se evidenció un aumento en ataques contra equipos del fabricante taiwanés QNAP.
La empresa pidió a los usuarios que actualicen sus dispositivos NAS a la última versión del software y se aseguren de que no estén expuestos al acceso remoto a través de Internet.
Aparición de BlackBasta
Black Basta se observó por primera vez a mediados de abril de 2022, pero ya había causado daños sustanciales a más de diez organizaciones, las que se dieron a conocer públicamente después que el grupo anunciara la filtración de datos de la Asociación Dental Estadounidense, de la cual se expusieron 2,9 GB de datos.
Nota de compromiso por Black Basta
Los ciberdelincuentes utilizan este ransomware para cifrar los archivos en sistemas comprometidos, agregando la extensión .basta y como muchos otros grupos de ransomware, roban grandes cantidades de información de las víctimas en un esfuerzo por aumentar sus posibilidades de que les paguen.
Onyx Ransomware entra en escena
Observado a fines del mes de abril, este pseudo ransomware elimina grandes archivos para impedir que se descifren incluso después de que la víctima pague el rescate.
Nota rescate Onyx Ransomware
Lo que hace Onyx, igual que otras muchas operaciones de ransomware, es robar datos de una red y posteriormente cifrar los dispositivos. Una vez hecho esto, hacen uso de una estrategia que está en aumento: la doble extorsión. Básicamente significa que cifran los archivos, pero también amenazan con hacerlos públicos.
Sin embargo, la característica principal de Onyx radica en que cualquier archivo de más de 2 MB, que es bastante común en las empresas, simplemente se destruye, ya que a diferencia de otras familias de ransomware, no puede recuperar documentos con una clave de descifrado.
Ransomware “GoodWill” apoyando la caridad
El ransomware GoodWill obliga a sus víctimas a donar a los pobres y ayudar a los necesitados en una forma inusual de hacktivismo al estilo de “Robin Hood”, según un informe de la empresa de ciberseguridad CloudSEK .
El ransomware, identificado por primera vez en marzo, cifra documentos, fotos, vídeos, bases de datos y otros archivos importantes y los hace inaccesibles sin la clave de descifrado.
Nota de GoodWill Ransomware
Los hackers exigen a las víctimas que realicen tres actividades benéficas para recibir la clave de descifrado:
Las víctimas deben grabar cada actividad y subirla a las redes sociales con un marco fotográfico y un pie de foto proporcionados por los hackers.
Dado lo que se ha observado en el último tiempo, es de esperar que el direccionamiento continúe hacia LATAM, siendo altamente esperable afectación en países con industrias de mayor envergadura en la zona como México, Brasil, Colombia, Argentina y Chile, por lo que es importante mantener sistemas y protocolos de seguridad que comprendan de forma adecuada la prevención como la respuesta ante incidentes.
La posible “migración” de Conti hacia grupos mucho más pequeños y con un objetivo específico, anuncia una nueva etapa de comportamiento en las actividades de estos grupos, los que sin duda se mueven a la par de la evolución natural de cualquier negocio.
Por lo tanto, en un futuro cercano, se observarán nuevos ataques de grupos u operadores “nuevos” con una tendencia al aumento, dirigidos principalmente a organizaciones cuyo compromiso pueda causar un impacto crítico en varios niveles.
De igual forma, las operaciones contra gobiernos con la clara “fachada” de un interés económico por parte de los atacantes, seguirá en curso, por cuanto es evidente que el beneficio de la obtención de información crítica de gobiernos es una ventaja contundente para el adversario que se beneficia de esta.
El aumento de las actividades recientemente observadas, sumado a la expertiz que los atacantes han podido adquirir en este último tiempo, entrega un panorama mucho más claro de los objetivos trazados por los grupos de amenaza, ya que es evidente que las operaciones seguirán en aumento y combinarán diferentes técnicas para la consolidación de sus ataques.
Mencionar igualmente que diferentes vulnerabilidades han sido explotadas indiscriminadamente durante los últimos meses para lograr el acceso a sistemas y desplegar ransomware, lo que indica que aun conociendo la gravedad de estas brechas, muchas organizaciones no proceden a una estricta vigilancia respecto a gestión de actualizaciones y la securización de aquellos sistemas que, siendo críticos para la operación de la organización, requieren una atención inmediata en cuanto a sus actualizaciones.
Un alto porcentaje de los dispositivos presentes en Chile que aún son vulnerables y que están propensos a este tipo de ataques, son de fácil descubrimiento por medio de herramientas que no requieren una expertiz técnica para su uso, lo cual aumenta la criticidad y la urgencia de atención a los sistemas involucrados.
Finalmente, la indicación de proteger estos activos es proceder a la actualización inmediata, de acuerdo a la recomendación de cada fabricante y siguiendo los lineamientos internos propuestos para tal caso, así como tener como base las recomendaciones entregadas en este boletín.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
CONTI | RANSOMWARE |
hash | 7f6dbd9fa0cb7ba2487464c824b... |
HIVE | RANSOMWARE |
hash | 321d0c4f1bbb44c53cd02186107... |
BLACKBASTA | RANSOMWARE |
hash | 5d2204f3a20e163120f52a2e359... |
ONYX | RANSOMWARE |
hash | 954d8fcd6b74d76999f9ec033ca... |
hash | a7f09cfde433f3d47fc96502bf2... |
CRYTOX | RANSOMWARE |
hash | d60dc6965f6d68a3e7c82d42e90... |
hash | 32eef267a1192a9a739ccaaae02... |
hash | 8863466ef1666426f2ad3053b2a... |
AVOSLOCKER | RANSOMWARE |
hash | 794f3d25c42d383fad485f9af1d... |
hash | 0d094770db65ec637489116e151... |
REvil | RANSOMWARE |
hash | 0c10cf1b1640c9c845080f460ee... |
hash | 861e2544ddb9739d79b265aab1e... |
DEADBOLT | RANSOMWARE |
hash | 3e30a65e6504969c05b1bed32db... |
hash | 444e537f86cbeeea5a4fcf94c48... |
hash | 59e7573339f23c21b934fba44f0... |