Así son los ciberdelincuentes que están detrás del ransomware

Recomendados:  Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

Los ciberataques de ransomware no dejan de aumentar y hay motivos para ello: son sencillos de llevar a cabo. Lo sugiere el retrato que acaba de hacer de un delincuente especializado en esta amenazas Talos, la división de ciberinteligencia de Cisco, que ha entrevistado en varias ocasiones en los últimos meses a ‘Aleks’, nombre ficticio tras el que se esconde un delincuente ruso especializado en el ransomware de la familia LockBit.

Este ciberdelincuente actúa solo, sin el apoyo de un grupo grande o país, y emplea tácticas bien conocidas, recurriendo en gran medida a herramientas comunes como Mimikatz, PowerShell y Masscan, en lugar de utilizar vulnerabilidades de día cero o métodos más sofisticados. Busca objetivos con fallos de seguridad bien conocidos que puedan explotarse fácilmente y, como muchos delincuentes, afirma que sólo persigue ganancias económicas modestas para mantener a su familia.

En sus respuestas hay información reveladora sobre las comisiones que exigen los grupos de ransomware por emplear sus herramientas o información sobre objetivos y sabemos que LockBit pide a sus usuarios una menor comisión que Maze; que los hospitales y escuelas son muy vulnerables y, que las compañías europeas víctimas de ransomware son más propensas a pagar, ya que dice “en Europa se  paga porque las compañías temen las multas del RGDP si se filtran sus datos”.

De sus conversaciones con el delincuente, Cisco Tales ha realizado un informe que combina conclusiones y recomendaciones. La primera de ellas es que los ciberdelincuentes siguen viendo los sistemas sin parchear como el método más sencillo (y muchas veces preferido) de intrusión. La aplicación rutinaria de parches puede resultar compleja, especialmente para las grandes compañías, y los ‘malos’ lo saben. Las vulnerabilidades más aprovechadas son las más conocidas, con código de explotación disponible públicamente.

Por otra parte, muchos de ellos utilizan casi exclusivamente herramientas comunes de código fuente abierto que están disponibles en Internet y son sencillas de utilizar. Además,

son ávidos consumidores de noticias sobre seguridad, y están al día en las últimas investigaciones y vulnerabilidades, aprovechando esa información para futuros ataques. Las organizaciones deberían animar a sus equipos de Seguridad a familiarizarse con las últimas informaciones sobre código fuente abierto, realizar sus propias investigaciones y seguir de cerca las tendencias del panorama de ciberamenazas.

Instituciones educativas, proveedores de atención sanitaria y entidades que colaboran en la respuesta frente al coronavirus COVID-19 siguen siendo objetivos prioritarios del ransomware, a pesar de las afirmaciones contrarias por parte de los atacantes, debido principalmente a la falta de personal defensor especializado, limitación de presupuesto y menor oportunidad de actualización al disponer de menos tiempo de inactividad.

Basándose en estas conversaciones y en otras investigaciones, Cisco Talos considera que el ransomware y sus operaciones seguirán extendiéndose, ya que basta con tener ciertos conocimientos técnicos para cometer este ciberdelito. El grupo LockBit intentará sacar provecho de la reciente y supuesta retirada de Maze. Y la proliferación del trabajo remoto y de la educación a distancia facilitarán sus operaciones al ampliar potencialmente la superficie de ataque.