Panorama de Ransomware Segundo trimestre 2021

02 Agosto 2021
Alto

En 2021, con el rápido desarrollo de la ciberseguridad, la industria del ciberdelito también está creciendo gradualmente. Entre ellas, el ransomware sigue siendo el más prominente entre muchas amenazas cibernéticas, lo que ha quedado demostrado con incidentes como el de Colonial Pipeline, un operador de oleoductos de EE. UU., el incidente de ransomware de Sol Oriens, un contratista de armas nucleares de EE. UU. Y JBS, un importante productor de carne. Estos casos fueron informados por la mayoría de los medios de comunicación y despertaron una preocupación generalizada.

El ransomware es actualmente el malware más destructivo y más extendido en el ciberespacio. Su objetivo es cifrar archivos en los dispositivos de destino, evitar que accedan a ellos y exigir un rescate a cambio de claves de descifrado. Además, algunos ransomware también roban información de objetivos durante el ataque y amenazan con publicar o vender datos en la web oscura, lo que tiene un impacto grave en empresas e individuos.


 

En muchos ataques de ransomware, más del 70% de los grupos de ransomware han adoptado una estrategia de rescate dual, amenazando a las víctimas con pagar enormes rescates con problemas de fuga de datos, porque los rescates generalmente se pagan en criptomonedas, y las criptomonedas tienen un cierto grado de seguridad basado en el anonimato, por lo tanto, el proceso de rastreo traerá ciertas dificultades y desafíos a las agencias de aplicación de la ley.

“Si no paga, no recuperará sus datos”

v1.0 Táctica de ransomware original. En otras palabras, una denegación de servicio contra sus datos. Usted paga y (a veces) recupera sus datos. Este tipo de chantaje se vio facilitado por el uso de la criptomoneda como medio de pago.

v1.5 Marcó la aparición de los primeros grupos como RaaS.

“Si no paga, divulgarán esta información al público”

v2.0 Robo de los datos antes de cifrarlos y forzar los pagos amenazando con publicar la información, afectando la reputación de su negocio y la confidencialidad de sus datos.

v2.5 Sumar una variante a la extorsion, consistente en el envío de correos a las personas (clientes o colaboradores de la víctima) evidenciando que han capturado sus datos por falta de seguridad de la organización comprometida.

"Si no paga, desconectamos su negocio"

v3.0 Cuando las extorsiones anteriores no han sido suficiente, se suma una tercera táctica. Una denegación de servicio nuevamente, pero esta vez, a nivel de la red pública de la víctima. Evidenciada principalmente cuando la información comprometida no compromete seriamente a la empresa afectada.

¿Estas formas de chantajes realmente funcionan?

La respuesta es simple, la técnica continúa funcionando y los ciberactores detrás de los ataques siguen cobrando y sumando utilidades, por lo que el ransomware como servicio triple de extorsión no solo seguirá en aumento sino que además mejorará en lo que hacen.

Objetivos de ataque 2021

En términos de objetivos, los ataques de ransomware a entidades gubernamentales y organizaciones de infraestructura crítica se han vuelto cada vez más comunes. Entre ellos podemos destacar:

  • El incidente de ransomware de Colonial Pipeline, un operador de oleoductos de EE. UU.
    • Este tuvo lugar entre el 6 y 7 de mayo de 2021, cuando Colonial Pipeline sufrió un ataque de malware que los obligó a detener todas las operaciones del oleoducto.
  • El incidente de ransomware de Sol Oriens, un contratista de armas nucleares de EE. UU.
    • Según un comunicado emitido por Sol Oriens, la compañía fue golpeada por "un incidente de ciberseguridad" en mayo de 2021.
  • El incidente de ransomware de JBS SA, el mayor productor de carne del mundo.
    • El ataque de ransomware a fines de mayo obligó a JBS a detener la producción en sus plantas de carne de res en los EE.UU.
  • Ataque a la cadena de suministro de Kaseya.
    • A principios de julio, los ciberdelincuentes aprovecharon las vulnerabilidades del producto VSA de Kaseya para entregar ransomware a los MSP y a sus clientes.

Estos ataques tienen las características de APT, y muestran una gran pertinencia y complejidad.

La industria del ransomware se está desarrollando rápidamente, ya que atrae a más y más personas a unirse y continuar promoviendo el desarrollo de la industria del ransomware, lo que hace que sus ataques y operaciones maduren. Algunos grupos de ransomware incluso tienen la capacidad técnica para llevar a cabo APT para complejos ataques.

En 2021, los grupos de ciberdelincuentes basados ​​en ransomware también han experimentado cambios trascendentales, como algunos grupos que anunciaron el cese de sus operaciones, otros grupos se reorganizaron después de la disolución y algunos grupos suspendieron temporalmente sus actividades. Hay que tener presente que la desaparición de algunos grupos de ciberactores especializados en el chantaje será reemplazada por grupos emergentes, lo que conducirá a un ecosistema de chantaje continuo.

Durante este año 2021, han surgido muchos nuevos grupos de ransomware los cuales los hicimos presente en nuestro panorama del primer trimestre de ransomware. Entre las organizaciones más activas durante el segundo trimestre están Revil, Conti y Ryuk. La proporción de ataques de estos grupos durante el segundo trimestre del 2021 se muestra en la siguiente figura:





Panorama Ransomware REvil/Sodinokibi

 

REvil efectúa ataque a la cadena de suministro de Kaseya

El 2 de julio, la operación de ransomware REvil lanzó un ataque masivo al explotar una vulnerabilidad de día cero en la aplicación de administración remota Kaseya VSA para cifrar aproximadamente sesenta proveedores de servicios administrados y aproximadamente 1.500 empresas. Exigiendo USD 70 millones por un descifrador universal para las víctimas de este ataque.

  • Recientemente Kaseya ha declarado que recibieron un descifrador universal para las victimas del ataque de ransomware de un "tercero de confianza" y ahora lo están distribuyendo a los clientes afectados.
  • Poco después, la  banda de ransomware REvil desapareció misteriosamente y los actores de amenazas cerraron sus sitios de pago e infraestructura. Es altamente probable que los ciberactores detrás de Revil / Sodinokibi hayan decidido como mejor estrategia eliminar su actual operación para luego volver a emerger, con el objetivo de dificultar el seguimiento y el rastreo por parte de los organismos de seguridad.


Panorama Ransomware Ryuk


 

Panorama Ransomware DoppelPaymer

La actividad de DoppelPaymer comenzó a declinar a mediados de mayo, aproximadamente una semana después del ataque del ransomware DarkSide a Colonial Pipeline. Parecía que los ciberactores detras de DoppelPaymer estarían esperando que la atención de los ataques de ransomware se disipara. Sin embargo, los investigadores de seguridad señalaron el mes pasado que la reciente aparición del Ransomware Grief ha permitido asociar que Grief y DoppelPaymer eran nombres para la misma amenaza. Fabian Wosar, de Emsisoft, le dijo a BleepingComputer que los dos compartían el mismo formato de archivo cifrado y usaban el mismo canal de distribución: la botnet Dridex.UU.

 

Las primeras noticias de Grief surgieron a principios de junio, apareciendo como una nueva operación, pero se han encontrado importantes similitudes con ransomware DoppelPaymer, lo que ha permitido a investigadores conjeturar que Grief ransomware es la última versión del ransomware DoppelPaymer con cambios menores en el código y con una nueva apariencia.

BlackMatter es un nuevo programa de afiliados de ransomware como servicio (RaaS) que se fundó en julio de 2021, Según BlackMatter, “el proyecto ha incorporado en sí mismo las mejores características de DarkSide, REvil y LockBit”, anunciando su interés en todas las industrias excepto en el cuidado de la salud y los gobiernos.

La primera muestra de Haron se envió a VirusTotal el 19 de julio. Investigadores han establecido similitudes entre Haron y Avaddon. Al momento se presenta con bajo perfil en cantidad de ataques.

"Prometheus" es un grupo de ransomware, observado por primera vez en febrero de 2021. Se presenta a sí mismo como relacionado con REvil, pero tal relación no está confirmada por este último. Prometheus no emplea el ransomware REvil, sino que emplea una variante personalizada del ransomware Thanos. El grupo gestiona un sitio de filtraciones donde han publicado información robada de más de 30 organizaciones con sede en más de 15 países.

LockBit, que se cree que había operado anteriormente con el nombre de ABCD, opera una estructura RaaS, proporcionando a los grupos afiliados un panel de control central para crear nuevas muestras de su malware. Los afiliados de LockBit a menudo comprarán el acceso del Protocolo de escritorio remoto (RDP) a los servidores como un vector de ataque inicial, aunque también utilizan técnicas típicas de phishing y relleno de credenciales.




Panorama ransomware Darkside

Desde su aparición inicial en agosto de 2020, los creadores del ransomware DarkSide y sus afiliados lanzaron una ola de delitos a nivel mundial que ha afectado a organizaciones en más de 15 países y múltiples industrias.

DarkSide es un Ransomware-as-a-Service (RaaS) mediante el cual invierten activamente en el desarrollo del código y nuevas funciones con afiliados. Abordado en un completo boletín sobre las principales características de “Ransomware Darkside”.

DarkSide experimentó importantes actualizaciones desde su inicio. A continuación se muestran algunas de sus características:

  • Capacidad para generar compilaciones para entornos Windows y Linux desde el panel de administración. 
  • Cifra archivos usando el cifrado Salsa20 junto con una clave pública RSA-1024
  • Acceso a un panel administrativo a través de TOR que los clientes pueden utilizar para administrar las compilaciones, los pagos, las publicaciones de blog y la comunicación con las víctimas de Darkside.
  • Descifrado de prueba automatizado. El proceso desde el cifrado hasta el retiro de dinero está automatizado y ya no depende del soporte.

  • Darkside fue el responsable del ciberataque a Colonial Pipeline que desde el 6 de mayo de 2021 hasta el 12 de mayo de 2021 detuvo el suministro de combustible de sus principales oleoductos.
  • Este incidente causó tal revuelo que los ciberactores detrás de Darkside intentaron limpiar su nombre de tres formas:
    • Presentándose a sí mismos como criminales con principios. DarkSide afirmó que nunca apuntaron a hospitales, escuelas, instituciones gubernamentales y cualquier cosa que afecte al público en general.
    • La segunda forma era parecer caritativo. Afirmaron haber donado grandes cantidades de dinero robado a organizaciones benéficas (lo robado, se incauta y se devuelve).
    • El tercer intento fue su disculpa por los problemas que enfrentó el público. Dijeron que calcularon mal el impacto que tendría en las personas que dependen del suministro de Colonial Pipeline.
  • En estos momentos el grupo de ciberdelincuentes detrás de Darkside han cerrado sus operaciones debido a la atención no deseada que provocó el incidente de Colonial Pipeline. Recordemos que estos grupos suelen ser proveedores de servicios y no son quienes están detrás de los ataques o buscando potenciales víctimas; más bien proporcionan la infraestructura y los servicios a otros atacantes para luego dividir las ganancias. 
     

Panorama ransomware Avaddon



Panorama ransomware Babuk

En enero de 2021 hizo sus primeras apariciones Ransomware Babuk. La nueva familia de ransomware tiene en su historial de ataque a grandes empresas de sectores del transporte, electrónica, agricultura y atención médica con TTP que aluden a comportamientos de Ransomware-as-a-Service.

En una amplia investigación realizada por investigadores de McAfee logran detallar, entre otras cosas, el gran parecido de sus códigos con los de Vasa Locker.

En información más detallada sobre cómo opera Babuk se puede establecer que utilizan los siguientes vectores de entrada: 

  • Phishing de correo electrónico donde el correo electrónico inicial está vinculado a una cepa de malware diferente (Trickbot o, hasta hace poco, Emotet, como ejemplo) que actúa como cargador.
  • Explotar las vulnerabilidades y exposiciones comunes (CVE) divulgadas públicamente pero no parcheadas, particularmente en software de acceso remoto, servidores web, hardware de borde de red y firewalls.
  • Irrumpir en el uso de cuentas válidas, a menudo a través de un acceso de protocolo de escritorio remoto (RDP) débilmente protegido con credenciales obtenidas a través de distribuidores de información de productos básicos, por ejemplo.

  • Babuk desde principios de año se ha mostrado como uno de los más activos y virulentos del ecosistema de la ciberdelincuencia. Después de atacar al departamento de policía de Washington DC en abril con un ataque de ransomware, el grupo prometió retirarse en una breve nota de despedida. Si se retiraron, fue de corta duración. En mayo, Babuk comenzó a filtrar datos de la violación de la policía de DC.
  • El grupo recientemente subió su código fuente de ransomware a VirusTotal y cambió el nombre de su sitio de filtraciones Payload.bin en lo que parecía ser el lanzamiento de un negocio de ransomware como servicio (RaaS).
  • Hace dos semanas, Babuk lanzó RAMP: un nuevo foro donde los actores de amenazas pueden conectarse y discutir abiertamente su negocio de ransomware.

     


Uno de los vectores de entrada más utilizados ha sido el compromiso del protocolo RDP (escritorio remoto de Windows). El cual es ampliamente investigado en nuestro boletín “Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red. Siendo importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 20 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente, ya que permiten el acceso completo al sistema para así continuar con escalamientos verticales u horizontales dentro de la red.

Otra tendencia claramente observada a fines 2020 y comienzos de 2021 es el aumento de campañas de phishing. Los correos electrónicos que contienen macros maliciosas en documentos adjuntos siguen siendo una opción popular para la entrega de malware.

En general, lo que hemos evidenciado durante el comienzo de este año 2021 y en concordancia con nuestro informe “Informe de Ciberseguridad 2020 de Entel CyberSecure", es que los actores de amenazas seguirán aprovechando la tendencia del teletrabajo y al aprendizaje remoto para centrar sus ataques en obtener información privada de sus víctimas a través de innovadoras técnicas de ingeniería social, explotación del protocolo RDP y vulnerabilidades no parcheadas, focalizándose en obtener mejores oportunidades y formas de forzar el pago de rescates de informacion.
 

Al analizar las principales cepas de Ransomware que estuvieron presentes durante el segundo trimestre 2021 podemos ver la prevalencia de tácticas específicas utilizadas durante las fases intermedias del ataque:


Este 2021 se ha caracterizado por la aplicación de la ley por parte de los organismos de seguridad, quienes han llevado a cabo arrestos, derribos de infraestructura y una interrupción general de las actividades de los actores de amenazas más connotados. No es descabellado decir que los ciberdelincuentes tienen una clara sensación de que ha aumentado el riesgo de ser un actor de ransomware y también los costos que esto involucra. Por lo que debiera ser lógico prever una disminución en la rentabilidad del mundo de la extorsión.

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Ransomware #malware #sodinokibi #revil #ryuk #Panorama


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.