Panorama de Ransomware primer trimestre 2021

La proliferación de los grupos de ransomware que vimos el 2020, en su mayoría bajo un modelo de ransomware-as-a-service (RaaS), sigue teniendo este año 2021 un gran impacto en la ciberseguridad, con varios ataques a nivel global a distintos tipos de objetivos que van desde hospitales, universidades, organismos gubernamentales, bancos, además de pequeñas, medianas y grandes empresas.

Una vez más, podemos ver cómo las bandas que operan las distintas familias de ransomware se reinventan en función del mercado de venta de amenazas. Siguiendo el sentido de este constante e interminable ciclo, se ha evidenciado una nueva táctica que se suma a los patrones de la amenaza, utilizada por los grupos de ransomware a inicios de 2021.

Sabemos que el patrón de ataque base consiste en el cifrado de data por parte de los actores detrás de ransomware con el fín de obtener ganancias monetarias por recuperar la integridad y disponibilidad de la información.

Como medida preventiva, muchas organizaciones implementaron copias de respaldo en la nube, que fue una acción crucial para la continuidad de sus negocios y protección ante ransomware, logrando recuperar sus datos sin tener que pagar.

Esta acción, llevó a los ciberactores maliciosos a tener que buscar una estrategia y vector de ataque que presionará a las víctimas y las obligará a realizar el pago solicitado. De esta forma, a finales de 2019 logramos evidenciar una nueva táctica que durante 2020 fue integrándose a la mayoría de las variantes de ransomware vigentes. Ésta, consiste en extraer la información de las víctimas antes de cifrarla, a fin de extorsionarlos con publicar en internet sus datos, afectando directamente la confidencialidad de la información.

El nuevo vector de ataque que se integra al cifrado y difusión pública de la información, es la denegación de servicios (DDos). Esta nueva táctica, obliga a las víctimas a tomar acciones inmediatas de respuesta ante incidentes, debido a que sus procesos y continuidad de negocio se ven fuertemente afectados, impactando directamente la reputación digital de las víctimas, mermando la disponibilidad de la información. Es importante destacar que este ataque se mantiene hasta que se establezcan los enlaces de comunicación entre la víctima y los atacantes, dejando a las organizaciones inoperantes. Hemos logrado evidenciar en algunos casos, ataques de tráficos mayores a 1 Tbit/s.

1. “Si no paga, no recuperará sus datos” 
2.  “Si no paga, divulgarán esta información al público”
3. "Si no paga, desconectamos su negocio"

Para más detalles sobre Ransomware 3.0 visite Ransomware 2021 en el panorama de amenazas

Si bien a menudo vemos nombres de empresas afectadas a nivel global, con especial hincapié en los Estados Unidos y Europa, el cono sudamericano no ha estado ajeno de los operadores detrás de este tipo de amenazas, es en ese sentido que tenemos que destacar a Avaddon que durante este año ha reportado varios ataques en Brasil y a Sodinokibi con sus conocidas incursiones a nivel sudamericano.

Por esto, como parte de la actualización constante de nuestros panoramas es que queremos destacar los grupos de ransomware qué más actividad hemos evidenciado durante los primeros meses del 2021:

Avaddon presenta una alta actividad en lo que va de 2021, siendo un ransomware as a service (RaaS) que fue reportado por primera vez en junio de 2020 y que cuenta con una sólida reputación en los mercados negros.

Algunos de los mecanismos de acceso inicial que estuvo utilizando este ransomware fueron correos de phishing con archivos adjuntos en formato ZIP que contienen un archivo JavaScript malicioso. Estos correos incluían un mensaje en el cuerpo del correo que buscan despertar la curiosidad del usuario, como una supuesta foto o similar.

Si bien los blancos de ataque más comunes en su corto período de vida han sido pequeñas y medianas empresas de Europa y Estados Unidos, también se ven afectados por este ransomware empresas ubicadas en América Latina. Las mismas van desde organismos gubernamentales hasta compañías de industrias como la salud o las telecomunicaciones.

Víctimas en su portal

Llama la atención la gran cantidad de compañías infectadas durante lo que va de este año 2021, con un número no menor de 32 víctimas y al menos 5 de ellas son de América Latina.

• Los investigadores de Microsoft observaron que la banda de Avaddon estaba usando correos electrónicos de phishing que llevaban macros de Excel 4.0 maliciosas como vector de infección, principalmente contra objetivos italianos.
• Además, en enero de 2021, Avaddon amplió el impacto de sus campañas al interrumpir las operaciones de las víctimas con ataques DDoS que apuntan a las redes internas o sitios de la empresa víctima, pudiendo dejar fuera de servicio el sitio web de los blancos afectados por periodos de tiempo prolongados, lo cual impediría a los usuarios acceder al mismo. En este sentido, si las víctimas no están preparadas, este tipo de ataques puede afectar a la reputación y generar pérdidas económicas a las empresas, sobre todo en rubros en los que la confianza y credibilidad de los clientes es fundamental.

Si bien las primeras víctimas conocidas de DoppelPaymer fueron atacadas en junio de 2019, se pudieron recuperar compilaciones anteriores del malware que se remontan a abril de 2019. A principios de diciembre de 2020, el FBI emitió una advertencia sobre DoppelPaymer y sus actividades han continuado este 2021.

Se cree que DoppelPaymer se basa en el ransomware BitPaymer (que apareció por primera vez en 2017) debido a similitudes en su código, notas de rescate y portales de pago.

Características:

• DoppelPaymer usa RSA de 2048 bits + AES de 256 bits para el cifrado, además mejora la tasa de cifrado mediante el uso de cifrado de archivos con subprocesos.
• El aspecto más exclusivo de DoppelPaymer es el uso de una herramienta llamada Process Hacker, que utiliza para finalizar servicios y procesos relacionados con la seguridad, para evitar la violación de acceso durante el cifrado.
• Al igual que muchas familias modernas de ransomware, las demandas de rescate de DoppelPaymer por el descifrado de archivos son considerables, oscilando entre 25.000 y 1,2 millones de dólares.
• DoppelPaymer posee un sitio de filtración de datos. donde amenazan a las víctimas con la publicación de sus archivos robados como parte del plan de extorsión del ransomware.
• DoppelPaymer utiliza una rutina bastante sofisticada, comenzando con la infiltración de la red a través de correos electrónicos no deseados maliciosos que contienen enlaces de spear-phishing o archivos adjuntos diseñados para atraer a usuarios desprevenidos para que ejecuten código malicioso que generalmente se disfraza como un documento genuino.
• Este código es responsable de descargar otro malware con capacidades más avanzadas (como Trickboot y anteriormente Emotet) en el sistema de la víctima.
• Establecida la comunicación con su servidor de comando y control (C&C) para instalar varios módulos, así como para descargar y ejecutar la familia de malware Dridex , que a su vez se usa para descargar DoppelPaymer directamente.
• Una vez que Dridex ingresa al sistema, los actores maliciosos no implementan inmediatamente el ransomware. En cambio, intenta moverse lateralmente dentro de la red del sistema afectado para encontrar un objetivo de alto valor al que robar información crítica.
•  Una vez que se encuentra este objetivo, Dridex procederá a ejecutar su carga útil final, DoppelPaymer. 
• Finalmente, DoppelPaymer cambiará las contraseñas de los usuarios antes de forzar un reinicio del sistema en modo seguro para evitar la entrada del usuario desde el sistema. Luego cambia el texto del aviso que aparece antes de que Windows pase a la pantalla de inicio de sesión.
• El nuevo texto del aviso es ahora la nota de rescate de DoppelPaymer, que advierte a los usuarios que no reinicien o apaguen el sistema, así como que no eliminen, renombren o muevan los archivos cifrados. La nota también contiene una amenaza de que sus datos confidenciales se compartirán con el público si no pagan el rescate que se les exige.

• Los actores detrás de DoppelPaymer comparten cierta superposición con un grupo de actores conocido como Indrik Spider.
• Doppelpaymer se utiliza contra empresas de las industrias mayorista y minorista, fabricación, finanzas, seguros, transporte y logística, alta tecnología, hotelería e inmobiliaria. Desde una perspectiva regional, los actores de amenazas detrás de DoppelPaymer se han dirigido a víctimas en los EE. UU., Canadá, México, Sudáfrica, Bélgica, Italia, Noruega y Alemania.
• Los actores detrás de DoppelPaymer mantienen una presencia activa en las redes sociales y en un sitio de filtraciones, al mismo tiempo que buscan cantidades crecientes de rescate de las víctimas, de la misma manera que lo han hecho los grupos de actores de amenazas de ransomware en el pasado.

El ransomware REvil, también conocido como Sodinokibi, es el mismo que afectó el año pasado a BancoEstado en Chile y a Telecom en Argentina. Opera como un Ransomware-as-a-Service (RaaS).  Se trata de un grupo que está activo desde abril de 2019 y que apunta tanto a grandes compañías como a pequeñas empresas, adaptando los montos que exige por el rescate según las características de la víctima.

Los vectores de ataque que más comúnmente ha utilizado son:

• Fuerza bruta a RDP.
• Correos de spear phishing.
• Explotación de vulnerabilidades.
• Exploit kits como Trickbot.

REvil ha estado en una ola de piratería durante los primeros meses de este 2021, exigiendo demandas de rescate extremadamente altas en ataques dirigidos a renombradas empresas como:

• Acer ($ 50 millones)
• Pierre Fabre ($ 25 millones)
• Asteelflash ($ 24 millones)
• Recientemente un ataque impactó los sistemas de Quanta Computer, uno de los más importantes fabricantes de computadoras y socio de Apple. Una particularidad de este caso es que, al parecer, luego de no recibir respuesta por parte del proveedor, los cibercriminales se contactaron directamente con Apple para extorsionar a la compañía y amenazarla para que paguen un rescate de 50 millones de dólares antes del 27 de abril y así evitar que publiquen la información robada.

Sodinokibi se mantiene como una de las variantes de ransomware más connotadas este 2021, destacando y caracterizándose, entre otras cosas, por tener una alta tasa de éxito de recuperación después de realizar un pago de rescate respecto de otros tipos de ransomware, puesto que la herramienta de descifrado es relativamente sencilla de usar.

REvil aumentó significativamente su presencia pública y se volvió muy comunicativo con las comunidades. Compartiendo información a través de presunto miembro de REvil que se hace llamar "Unknown".

La banda de delitos informáticos Maze, que revolucionó el negocio del ransomware al agregar un elemento de extorsión a cada ataque, cerró sus operaciones en octubre del 2020 mediante un comunicado publicado en su sitio darknet el 1 de noviembre, sin embargo, resucitó como ransomware Egregor. 

Egregor (reemplazo de Maze), Implementó un RaaS (Ransomware-as-a-Service), que permitía a otros actores del ciberdelito arrendar la admisión a su cepa de ransomware. Estos clientes, también llamados afiliados, penetraron en las organizaciones y enviaron ransomware cifrando archivos y extorsionando pagos, los que exponían en su "sitio de filtración" en el que enumeraban regularmente las organizaciones que infectaban.

Este cambio de marca no influyó en la prosperidad del grupo. Egregor se posicionó como el segundo y tercer servicio RaaS más activo del mercado, lo que representa casi una cuarta parte de todas las víctimas registradas en los sitios de fugas del año 2021 según el informe de Analyst1( cyber security network defense platform), publicado en abril. Este mayor período de actividad se convirtió además en beneficios relacionados con el dinero, realizando al menos 75 millones de dólares en pagos de rescate hasta la fecha, según las transacciones que la compañía pudo rastrear en cadenas de bloques públicas. 

Sin embargo, este logro también atrajo la atención de las fuerzas del orden, que comenzaron a invertir grandes recursos en la investigación y la búsqueda del grupo. En este momento, el grupo Egregor está en una pausa, habiendo detenido sus actividades después de que las autoridades francesas y ucranianas capturaron a tres de sus miembros a mediados de febrero, incluido un miembro de su equipo central.

Netwalker llegó a representar más del 10% del número total de víctimas en el año 2020. Entre sus objetivos se encuentran los gigantes de la logística, los grupos industriales, las corporaciones energéticas y otras grandes organizaciones. En el espacio de solo unos meses en 2020, los ciberdelincuentes recaudaron más de $25 millones.

Ofrecieron arrendar Netwalker a estafadores solitarios a cambio de una parte de las ganancias del ataque. Para que el proceso de arrendamiento sea lo más fácil posible, crearon un sitio web para publicar automáticamente los datos robados después de la fecha límite del rescate.

En enero de 2021, la policía confiscó los recursos de la web oscura de Netwalker y acusó al ciudadano canadiense Sebastien Vachon-Desjardins de obtener más de 27,6 millones de dólares de la actividad de extorsión. Vachon-Desjardins estaba a cargo de encontrar víctimas, violarlas y desplegar Netwalker en sus sistemas. La operación de aplicación de la ley mató efectivamente a Netwalker.

En enero de 2021 hizo sus primeras apariciones Ransomware Babuk. La nueva familia de ransomware tiene en su historial de ataque a grandes empresas de sectores del transporte, electrónica, agricultura y atención médica con TTP que aluden a comportamientos de Ransomware-as-a-Service.

En una amplia investigación realizada por investigadores de McAfee logran detallar, entre otras cosas, el gran parecido de sus códigos con los de Vasa Locker.

En información más detallada sobre cómo opera Babuk se puede establecer que utilizan los siguientes vectores de entrada: 

• Phishing de correo electrónico donde el correo electrónico inicial está vinculado a una cepa de malware diferente (Trickbot o, hasta hace poco, Emotet , como ejemplos) que actúa como cargador.
• Explotar las vulnerabilidades y exposiciones comunes (CVE) divulgadas públicamente pero no parcheadas, particularmente en software de acceso remoto, servidores web, hardware de borde de red y firewalls.
• Irrumpir en el uso de cuentas válidas, a menudo a través de un acceso de protocolo de escritorio remoto (RDP) débilmente protegido con credenciales obtenidas a través de distribuidores de información de productos básicos, por ejemplo.

Babuk desde principios de año se ha mostrado como uno de los más activos y virulentos del ecosistema de la ciberdelincuencia. Por esta razón ha sido una sorpresa el anuncio reciente de su abandono del sector de la extorsión y su intención de liberar el código fuente de su herramienta.

En dos comunicados, que pudieron ser capturado por Bleeping Computer, se pueden extraer la siguiente información:

• El proyecto de Babuk ha cumplido su último objetivo, con el golpe al Departamento de Policía de Washington, y que tal y como se cierre el mismo (sea del modo que sea), el proyecto se dará por concluido. 
• El anuncio de que su intención de liberar el código de Babuk para crear, según sus propias palabras, un RaaS (Ransomware as a Service) de código abierto, con el que cualquier persona con los conocimientos necesarios pueda tanto lanzar sus propios ataques como convertirse en proveedor de este tipo de servicios para terceros.

Esta es una información en desarrollo al día de hoy, que será ampliada en próximos panoramas.

Lo que es interesante en Ryuk es que es una familia de ransomware que se descubrió en agosto de 2018 y que ganó una popularidad significativa en 2020. Ryuk fue tan prolífico que algunas estimaciones lo sitúan detrás del 33% de los ataques de ransomware en 2020.

Ryuk es especialmente peligroso porque es dirigido manualmente y a menudo se aprovecha a través de un ataque de varias etapas precedido por malware como TrickBot. Por lo tanto, si una organización tiene Ryuk, es un buen indicador de que fue infectada previamente con otro malware.

¿Cómo funciona Ryuk Ransomware? Un ataque típico de Ryuk sigue un patrón similar:

• Obtener acceso inicial al sistema o máquina a través de phishing o un puerto RDP (Protocolo de escritorio remoto) no seguro.
• Obtener credenciales de usuario para privilegios elevados utilizando software como Trickbot.
• Los atacantes ahora pueden navegar por la red a voluntad en busca de información confidencial.
• Los atacantes luego usan PsExec para agregar un script por lotes a todas las máquinas objetivo que copian Ryuk en el directorio raíz.
• Esto crea un nuevo servicio para lanzar Ryuk que cifrará archivos y mostrará la nota de rescate.

• Después de analizar una muestra de la nueva versión de Ryuk, la Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI) descubrió que ahora podía propagarse de una máquina a otra por sí misma. La muestra de Ryuk con esta capacidad utilizó tareas programadas para copiarse de una máquina a otra en un dominio de Windows.
• Los investigadores descubrieron esta nueva cepa a principios de 2021, con la capacidad de auto-replicarse y extenderse lateralmente a través de una red, lo que le daría el potencial de infectar mucho más a una organización o red de pares en un lapso de tiempo mucho más corto. Esto nos muestra una vez más que ransomware Ryuk posee una velocidad de adaptación que busca adelantarse a las medidas de seguridad.

Uno de los vectores de entrada más utilizados ha sido el compromiso del protocolo RDP (escritorio remoto de Windows). El cual es ampliamente investigado en nuestro boletín “Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red".  Siendo importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 5 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente, ya que permiten el acceso completo al sistema para así continuar con escalamientos verticales u horizontales dentro de la red.

Otra tendencia claramente observada a fines 2020 y comienzos de 2021 es el aumento de campañas de phishing. Los correos electrónicos que contienen macros maliciosas en documentos adjuntos siguen siendo una opción popular para la entrega de malware.

En general, lo que hemos evidenciado durante el comienzo de este año 2021 y en concordancia con nuestro informe “Informe de Ciberseguridad 2020 de Entel CyberSecure" es que los actores de amenazas seguirán aprovechando la tendencia del teletrabajo y al aprendizaje remoto para centrar sus ataques en obtener información privada de sus víctimas a través de innovadoras técnicas de ingeniería social, explotación del protocolo RDP y Vulnerabilidades no parcheadas, focalizándose en obtener mejores oportunidades y formas de forzar el pago de rescates de información.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.