Los ataques de ramsomware más maliciosos exigen pagos con criptomonedas

A medida que la interconexión convierte el mundo en una aldea global, se espera que los ciberataques aumenten. Según los informes, a finales del año pasado se produjo un pico en el promedio de pagos realizados a los atacantes de ransomware (o atacantes que exigen pago de rescates), dado que varias organizaciones se vieron obligadas a pagar millones de dólares para que sus archivos fueran liberados por los atacantes de malware.

Aparte del hecho de que la actual pandemia ha dejado a muchas personas y empresas vulnerables a los ataques, la noción de que las criptomonedas son un método de pago anónimo e irrastreable ha llevado a muchos atacantes de ransomware a exigir el pago de rescates en Bitcoin (BTC) y otras altcoins. 

Recientemente, un informe publicado el 23 de junio por la firma de seguridad cibernética Fox-IT reveló un grupo de malware llamado Evil Corp que ha estado molestando con nuevos rescates que exigen a sus víctimas el pago de un millón de dólares en Bitcoin.

El informe también revela que grupos como Evil Corp crean ransomware dirigidos a servicios de bases de datos, entornos de nube y servidores de archivos con la intención de desactivar o interrumpir las aplicaciones de copia de seguridad de la infraestructura de una empresa. El 28 de junio, la firma de seguridad cibernética Symantec informó que había bloqueado un ataque de ransomware por parte de Evil Corp que tenía como objetivo unas 30 empresas estadounidenses para exigir el pago en Bitcoin.

Estos intentos de ataque son solo los ejemplos más recientes de la creciente amenaza de los ataques de ransomware. A continuación se presentan algunos de los rescates más maliciosos que han exigido el pago en criptos.

WastedLocker 

WastedLocker es el último programa de rescate creado por Evil Corp, un grupo activo desde 2007 y considerado como uno de los equipos de ciberdelincuencia más letales. Tras la acusación de dos presuntos miembros del grupo, Igor Turashev y Maksim Yakubets, en relación con los troyanos bancarios Bugat/Dridex y Zeus, Evil Corp supuestamente redujo su actividad.

Sin embargo, los investigadores opinan ahora que a partir de mayo de 2020, el grupo ha reanudado los ataques una vez más, con el malware WastedLocker como su última creación. El malware se ha denominado “WastedLocker” debido al nombre de archivo creado por el malware, que añade una abreviatura del nombre de la víctima a la palabra “wasted”.

Al desactivar e interrumpir las aplicaciones de copia de seguridad, los servicios de base de datos y los entornos de nube, WastedLocker impide que sus víctimas puedan recuperar sus archivos durante un período de tiempo más largo, incluso si hay una configuración de copia de seguridad fuera de línea. En los casos en que una empresa carece de sistemas de copia de seguridad fuera de línea, la recuperación puede impedirse indefinidamente. 

Sin embargo, los investigadores señalan que, a diferencia de otros administradores de programas de rescate que filtran la información de las víctimas, en Evil Corp. no han amenazado con publicar la información de las víctimas para evitar atraer la atención del público hacia sí mismos.

DoppelPaymer 

DoppelPaymer es un ransomware diseñado para encriptar los archivos de su objetivo, impidiendo que se pueda acceder a ellos y alentando posteriormente a la víctima a pagar un rescate para descifrar los archivos. Utilizado por un grupo de eCrimen llamado INDRIK SPIDER, el malware de DoppelPaymer es una forma de rescate de BitPaymer y fue descubierto por primera vez en 2019 por la compañía de protección de puntos finales de software CrowdStrike. 

Recientemente, el ransomware fue usado en un ataque contra la ciudad de Torrance en California. Más de 200 GB de datos fueron robados, y los atacantes exigieron 100 Bitcoin como rescate. 

Otros informes revelan que el mismo malware se utilizó para atacar el sistema de tecnología de la información de la ciudad del estado de Alabama. Los atacantes amenazaron con publicar en línea los datos privados de los ciudadanos, a menos que se les pagaran 300,000 dólares en Bitcoin. El ataque se produjo después de las advertencias de una empresa de seguridad cibernética con sede en Wisconsin. Un especialista en ciberseguridad que analizó el caso mencionó que el ataque que había derribado el sistema de correo electrónico de la ciudad fue posible gracias al nombre de usuario de un ordenador perteneciente al administrador de sistemas de información de la ciudad.

Los datos de Chainalysis muestran que por el malware DoppelPaymer se ha realizado uno de los mayores pagos, uno de los dos únicos que han alcanzado la cantidad de 100,000 dólares.

Dridex

Según un informe del proveedor de seguridad cibernética Check Point, el malware Dridex entró en la lista de los 10 primeros por primera vez en marzo de 2020, después de una aparición inicial en 2011. El malware, también conocido como Bugat y Cridex, se especializa en el robo de credenciales bancarias utilizando un sistema de macros en Microsoft Word

Sin embargo, las nuevas variantes del malware van más allá de Microsoft Word y ahora se dirigen a toda la plataforma Windows. Los investigadores señalan que el malware puede ser lucrativo para los delincuentes gracias a su sofisticación, y ahora se está utilizando como descargador de ransomware o software de rescate.

A pesar de que el año pasado se eliminó una red de bots vinculada a Dridex, los expertos creen que estos éxitos suelen ser efímeros, ya que otros grupos delictivos pueden recoger el malware y utilizarlo para otros ataques. Sin embargo, la actual pandemia mundial ha intensificado aún más el uso de programas maliciosos como Dridex, que se ejecutan fácilmente mediante ataques de phishing por correo electrónico, ya que cada vez más personas tienen que quedarse a trabajar desde casa.

Ryuk 

Otro malware que ha resurgido como resultado de la pandemia de coronavirus es el Ryuk Ransomware, conocido por atacar a los hospitales. El 27 de marzo, un portavoz de una empresa de seguridad informática con sede en Gran Bretaña confirmó que a pesar de la pandemia mundial, el Ryuk Ransomware sigue siendo utilizado para atacar hospitales. Como la mayoría de los ciberataques, el malware Ryuk se distribuye a través de correos electrónicos de spam o funciones de descarga basadas en la geografía.

El malware Ryuk es una variante de Hermes, que está vinculado al ataque a SWIFT en octubre de 2017. Se cree que los atacantes que han estado utilizando Ryuk desde agosto han obtenido más de 700 Bitcoin en 52 transacciones

Revil

A medida que el panorama de los rescates continúa siendo superpoblado por nuevas soluciones maliciosas, los grupos de ciberdelincuentes como la banda de rescates REvil (Sodinokibi) han evolucionado aparentemente con los tiempos con una mayor sofisticación de su funcionamiento. La banda REvil funciona como un RaaS (Ransomware-as-a-Service) y crea variedades de malware que vende a otros grupos criminales

Un informe del equipo de seguridad de KPN revela que el malware REvil ha infectado más de 150,000 ordenadores únicos en todo el mundo. Sin embargo, estas infecciones solo surgieron de una muestra de 148 cepas de REvil. Cada cepa de REvil se despliega de acuerdo con la infraestructura de la red de la empresa para aumentar las posibilidades de infección.

Recientemente, la notoria banda del rescate de REvil lanzó una subasta para vender los datos robados de las empresas que no pueden pagar el rescate con precios que empiezan en 50,000 dólares pagaderos en Monero (XMR). Por motivos de privacidad, la banda de REvil pasó de exigir el pago en Bitcoin a Monero, una criptomoneda centrada en la privacidad.

Como uno de los operadores de rescates más activos y agresivos, la banda de REvil se dirige principalmente a las corporaciones, cifrando sus archivos y pidiendo pagos astronómicos de unos 260,000 dólares en promedio.

PonyFinal

El 27 de mayo, el equipo de seguridad de Microsoft reveló en una serie de tuits información sobre un nuevo ransomware llamado “Pony Final”, que utiliza la fuerza bruta para acceder a su infraestructura de red objetivo para desplegar el ransomware.

A diferencia de la mayoría de los malware que utilizan enlaces de phishing y correos electrónicos para engañar al usuario para que active el software, PonyFinal se distribuye utilizando una combinación de un entorno de ejecución Java y archivos MSI que entregan malware con un cargador que se activa manualmente por el atacante. Al igual que Ryuk, PonyFinal está siendo usado principalmente para atacar instituciones de salud en medio de la crisis de COVID-19.

Los pagos han disminuido

A pesar del aumento general del número de ataques cibernéticos, los expertos consideran que hay una disminución en el número de ataques exitosos, ya que para la mayoría de las empresas, los ataques de rescate (ransomware) en medio de una pandemia mundial están demostrando ser un golpe final, dejándolas incapaces de pagar el rescate

Esto es evidente en un informe publicado el 21 de abril por el laboratorio de malware Emsisoft, que revela una disminución significativa en el número de ataques exitosos con rescate en los EE.UU. Asimismo, un informe que Chainalysis publicó en abril determinó una disminución significativa en los pagos de rescates desde que la pandemia de coronavirus se intensificó en los EE.UU. y Europa

Así que parece que a pesar del creciente número de ataques, las víctimas no están pagando los rescates, dejando a los grupos criminales como REvil sin otra opción que subastar los datos robados. También es probable que la llamada a los empleados para que trabajen desde casa haya planteado paradójicamente un nuevo reto para los hackers. Mientras hablaba con Cointelegraph, el analista de amenazas de Emsisoft, Brett Callow, declaró que:

“Es muy obvio para los atacantes de software de rescate que tienen un objetivo potencialmente valioso cuando llegan a un punto final corporativo. Sin embargo, puede ser menos obvio cuando llegan a un dispositivo personal que un empleado está usando mientras trabaja remotamente, y que solo está conectado a los recursos corporativos de manera intermitente”.

No dejes de leer: