Aumentan los ataques de ransomware multiplataforma

  • Actualidad

Siguiendo la tendencia del ransomware multiplataforma, Kaspersky ha descubierto nuevos grupos de ransomware que han aprendido a adaptar su malware a diferentes sistemas operativos al mismo tiempo y, por lo tanto, a causar daños a más organizaciones. Ejemplo de ello son RedAlert y Monster.

Esta reciente investigación de los expertos de Kaspersky descubrió la actividad de RedAlert y Monster, grupos que lograron realizar ataques en diferentes sistemas operativos sin recurrir a lenguajes multiplataforma. Además, los expertos describieron exploits 1-day que pueden ser ejecutados por grupos de ransomware para conseguir sus objetivos financieros.

Durante el año 2022, los analistas de seguridad de Kaspersky han sido testigos del aumento del uso de los servicios multiplataforma por parte de los grupos de ransomware. En la actualidad, su objetivo es dañar el mayor número posible de sistemas adaptando su código de malware a varios sistemas operativos a la vez. Kaspersky ya ha descrito grupos de este tipo que utilizaban lenguajes multiplataforma Rust o Golang, como Luna o BlackCat. Sin embargo, esta vez los grupos de ransomware denunciados, RedAlert y Monster, despliegan un malware que no está escrito en un lenguaje multiplataforma, pero que puede dirigirse a varios sistemas operativos simultáneamente.

Según la firma de seguridad, RedAlert emplea malware escrito en C plano, como se detectó en la muestra de Linux. Sin embargo, el malware desarrollado por RedAlert soporta explícitamente entornos ESXi. Además, el sitio web de RedAlert onion ofrece un descifrador para su descarga. Otro aspecto que diferencia a RedAlert de otros grupos de ransomware es que sólo aceptan pagos en la criptomoneda Monero, lo que hace que el dinero sea más difícil de rastrear. Aunque este enfoque podría ser razonable desde el punto de vista de los delincuentes, Monero no se acepta en todos los países ni en todas las casas de cambio, por lo que las víctimas podrían tener problemas para pagar el rescate.

Detectado en julio de 2022, Monster es un grupo que aplica Delphi, un lenguaje de programación que, sin embargo, se expande en diferentes sistemas. Lo que le hace especialmente, explica Kaspersky, es que cuenta con una interfaz gráfica de usuario (GUI), un componente que nunca antes había sido implementado por grupos de ransomware. Además, los ciberdelincuentes ejecutan los ataques de ransomware a través de la línea de comandos de forma automatizada durante un ataque dirigido. Según la muestra extraída por sus expertos, los autores del ransomware Monster incluyeron la GUI como un parámetro opcional de la línea de comandos. Realizó ataques a usuarios de Singapur, Indonesia y Bolivia.

Consejos del especialista

-- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras.

-- Instalar lo antes posible los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en su red.

-- Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades.

-- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Se debe prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.

-- Hacer copias de seguridad de los datos con regularidad. Se debe poder acceder rápidamente a ellos en caso de emergencia cuando los necesite.

-- Utilizar soluciones que ayudan a identificar y detener el ataque en las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.

-- Formar a los usuarios.

-- Utilizar una solución de seguridad para endpoints fiable.

-- Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs reales utilizadas por los actores de amenazas.