La colaboración entre grupos de ransomware: ¿anécdota o realidad?

La compañía de ciberseguridad ha desvelado, a través de un white paper, que Hive, LockBit y BlackCat, tres destacadas bandas de ransomware, atacaron consecutivamente la misma red. Los dos primeros ataques se produjeron en dos horas, y el tercero tuvo lugar dos semanas después. Cada banda de ransomware dejó su propia petición de rescate, y algunos de los archivos estaban triplemente encriptados, lo que creó un nuevo nivel de complejidad para la recuperación.

En el whitepaper se describen también otros casos de ciberataques superpuestos, que fueron de criptominería, troyanos de acceso remoto (RAT) y bots. En el pasado, cuando varios atacantes han tenido como objetivo el mismo sistema, los ataques solían producirse a lo largo de muchos meses o varios años. Los ataques descritos en el informe de Sophos se produjeron con días o semanas de diferencia (en un caso, simultáneamente), y a menudo los distintos atacantes accedieron a la red del objetivo a través del mismo punto vulnerable de entrada.

Normalmente, los cibercriminales compiten por los recursos, lo que hace más difícil que varios atacantes operen simultáneamente. Los criptomineros normalmente acaban con sus competidores en el mismo sistema, y los RATs actuales suelen destacar la matanza de bots como una característica en los foros de los cibercriminales. Sin embargo, en el ataque en el que participaron estos tres grupos de ransomware, por ejemplo, BlackCat (el último grupo de ransomware detectado en el sistema) no sólo borró los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y de Hive. En otro caso, uno de los sistemas fue infectado por el ransomware LockBit. Después, unos tres meses más tarde, los miembros de Karakurt Team, un grupo cibercriminal vinculado a Conti, fueron capaces de aprovechar la puerta trasera creada por LockBit para robar datos y pedir un rescate por ellos.

Según John Shier, asesor principal de seguridad de Sophos, "en general, los grupos de ransomware no parecen ser abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente a sus afiliados trabajar con sus competidores, como se indica en el informe de Sophos".

El experto reconoce que no hay pruebas de la colaboración, pero dice que es posible que "esto se deba a que los atacantes reconocen que hay un número finito de 'recursos' en un mercado cada vez más competitivo. O tal vez crean que cuanta más presión se ejerza sobre un objetivo (es decir, múltiples ataques), más probable será que las víctimas paguen. Tal vez mantengan conversaciones importantes, llegando a acuerdos mutuamente beneficiosos, por ejemplo, en los que un grupo encripta los datos y el otro los exfiltra. En algún momento, estos grupos tendrán que decidir qué opinan de su cooperación (si la adoptan o se vuelven más competitivos) pero, por ahora, el campo de juego está abierto para múltiples ataques de diferentes grupos".

La mayoría de las infecciones iniciales de los ataques destacados en el informe se produjeron a través de una vulnerabilidad sin parchear, siendo algunas de las más notables Log4Shell, ProxyLogon y ProxyShell, o de servidores de Protocolo de Escritorio Remoto (RDPs) mal configurados y sin seguridad. En la mayoría de los casos en los que participaron varios atacantes, las víctimas no lograron remediar el ataque inicial de forma eficaz, dejando la puerta abierta a futuras actividades cibercriminales. En esos casos, las mismas desconfiguraciones de RDP, así como las aplicaciones como RDWeb o AnyDesk, se convirtieron en una vía fácilmente explotable para los ataques posteriores. De hecho, los servidores RDP y VPN expuestos son algunos de los listados más populares que se venden en la dark-web.

Recibir varios a ataques de forma simultánea puede ser una tendencia en el futuro. "Si bien el aumento de los atacantes múltiples todavía se basa en pruebas anecdóticas, la disponibilidad de sistemas explotables da a los ciberdelincuentes una amplia oportunidad para seguir dirigiéndose en esta dirección", asegura Shier.