Ransomware REvil Group anuncia fuerte campaña de ataques

El grupo de amenazas de ransomware REvil sigue haciendo noticia y causando estragos en distintas organizaciones que han sido víctimas. Su más reciente campaña ha estado dirigida en África, Europa, México y Estados Unidos.

Las organizaciones supuestamente afectadas incluyen bufetes de abogados, una compañía de seguros, una firma de arquitectura, una empresa de construcción y una cooperativa agrícola dentro de los EE. UU. En cambio, en México y África, dos grandes bancos internacionales se vieron afectados. 

Pero sin duda, uno de los ataques que más ha causado noticia y alerta es el que tiene como víctima al conocido proveedor de tecnología Acer, donde la suma del rescate que hasta el momento se solicita, podría ser catalogado como el más alto hasta la fecha. 

Acer

Acer es el sexto proveedor de PC más grande por unidad de ventas en el mundo con más de 7,000 empleados y más de 234,29 mil millones en ingresos.

Por dicha razón, es que la organización es una gran apuesta y objetivo para las bandas de cibercriminales. REvil, en esta ocasión no dejó pasar la oportunidad y ha cobrado lo que se habla de rescate más grande solicitando aproximadamente unos $ 50,000,000.

Los actores detrás de REvil, respecto a este ataque, declararon haber robado datos de los sistemas del proveedor antes de que estos tuvieran la oportunidad de ser encriptados. También publicaron en su sitio algunas imágenes de documentos presuntamente robados, que parecían hojas de cálculo financieras, documentos bancarios y comunicaciones de la empresa.

Comunicado de Acer

Acer emitió un comunicado el 19 de marzo indicando que actualmente todavía están investigando la violación de seguridad y los efectos que esto podría haber tenido.

“Acer monitorea rutinariamente sus sistemas de TI y la mayoría de los ataques cibernéticos están bien defendidos. Empresas como nosotros estamos constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos pertinentes en varios países".

"Hemos estado mejorando continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las disciplinas y las mejores prácticas de ciberseguridad, y estén atentos a cualquier anomalía en la actividad de la red.”

REvil ransomware

El grupo de ransomware REvil, también conocido como Sodinokibi o Sodin, es conocido por usar tácticas de doble extorsión contra sus víctimas y por su robusta operación de ransomware como servicio, en la que los desarrolladores venden malware a clientes o "afiliados" para lanzar sus propias campañas. 

Según Informes de investigadores de Threatpost, la banda de ransomware se está atribuyendo el mérito de los ataques contra organizaciones como: bufetes de abogados, una compañía de seguros, bancos internacionales y un fabricante ubicado en llevados a cabo en África, Europa, México y Estados Unidos. 

Como prueba de ello, REvil publicó algunos de los documentos que afirman haber robado a las víctimas: directorios de archivos de computadora, listas de clientes, contratos e incluso identificaciones de empleadores y clientes. 

Aunque aún no está claro si se ha solicitado el pago a las distintas organizaciones, algunos de los documentos publicados desaparecieron de su página web después de la publicación, lo cual nos permite deducir que las víctimas podrían haber pagado el rescate solicitado para bajar sus datos de la web.

Entrevista a Revil

Arrojando algo de luz sobre las motivaciones detrás de los métodos del grupo, The Record realizó una entrevista a un presunto miembro de REvil que se hace llamar "Unknown". Afirmando que:

• Revil se está alejando de la política ahora, ya que simplemente no es lucrativo.
• Cuando se le preguntó sobre el impacto de COVID-19 en el ciberdelito, explica que, como resultado de la pandemia, menos víctimas tienen los recursos para pagar, con la excepción de las empresas farmacéuticas, cuyos bolsillos se han mantenido lo suficientemente profundos como para convertirlos en objetivos valiosos.
• Advierte que los negociadores corporativos podrían hacerle al objetivo más daño que bien, ya que el regateo probablemente sólo obligará a la pandilla a aumentar sus demandas de rescate para recuperar el tiempo y los recursos perdidos.
• Lo particularmente fascinante fue una afirmación hecha por "Unknown" de que la banda REvil apunta específicamente a empresas que han contratado seguros contra ataques de ransomware, presumiblemente con la comprensible creencia de que esas víctimas corporativas tienen más probabilidades de pagar.

Ransomware 2021 en el panorama de amenazas

Como lo mencionamos en nuestro boletín de “Ransomware 2021 en el panorama de amenazas”, Sodinokibi en una de las variantes de ransomware más connotadas en 2020, destacando y caracterizándose, entre otras cosas, por tener una alta tasa de éxito de recuperación después de realizar un pago de rescate respecto de otros tipos de ransomware, puesto que la herramienta de descifrado es relativamente sencilla de usar.

Panorama

Revil ha demostrado ser capaz de planificar campañas altamente sofisticadas, además ha aumentado significativamente su presencia pública volviéndose muy comunicativo con las comunidades. Es probable que esta tendencia continúe esperando que se compartan más información en el futuro, lo que nos permitirá comprender mejor a este grupo de amenaza y sus ataques futuros.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.