Ransomware simultáneo: así operan los grupos de cibercriminales que colaboran para atacar

El ransomware simultáneo es una nueva modalidad de cibercrimen que ha comenzado a preocupar a las empresas debido a sus características. Mediante el uso de virus informáticos, tres grupos de piratas atacaron consecutivamente y en equipo a la misma red, causando más estragos que los que una incursión convencional provoca normalmente.

El informe llamado “Multiple Attackers: A Clear and Present Danger” proviene de la firma de ciberseguridad Sophos y describe la forma en la que Hive, LockBit y BlackCat, tres prominentes bandas cibercriminales que utilizan ransomware, atacaron consecutivamente a la misma red.

Un modus operandi de temer

Los primeros dos ataques tuvieron lugar en un periodo de dos horas, mientras el tercero se desarrolló dos semanas después. Cada grupo dejó su propia demanda de pago por rescate, y algunos de los archivos fueron triplemente encriptados.

"Ya es bastante malo recibir una nota de ransomware, pero más aún tres. Tener a múltiples atacantes simultáneamente genera un nivel completamente nuevo de complejidad para la recuperación, particularmente cuando los archivos de red están triplemente encriptados. La ciberseguridad que incluye prevención, detección y respuesta es fundamental para organizaciones de cualquier tamaño y tipo; ninguna empresa es inmune”, dijo John Shier, asesor principal de seguridad de Sophos.

Además, el documento describe casos adicionales de ciberataques superpuestos, incluidos criptomineros, troyanos de acceso remoto (RAT) y bots. En el pasado, cuando varios atacantes se enfocaban en el mismo sistema, generalmente lo hacían en periodos de meses o hasta en varios años. Por el contrario, los ataques descritos en el informe tuvieron lugar con días o semanas de diferencia y, en un caso, simultáneamente. Se detalla que incluso accedieron a la red del objetivo a través del mismo punto de entrada vulnerable.

Generalmente los grupos de piratas informáticos compiten por los recursos que robarán, lo que dificulta que varios atacantes operen a la vez. Por ello, por ejemplo los criptomineros normalmente eliminan a sus competidores en el mismo sistema, y ​​las RAT de hoy en día destacan por su capacidad de eliminación de bots como una característica particular. Pero, en el ataque que involucró a estos tres grupos, se vio que BlackCat no solo eliminó los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y Hive.

En otra oportunidad, LockBit infectó un sistema y tres meses después, los miembros de Karakurt Team, un grupo con vínculos con el grupo Conti, aprovecharon la puerta trasera que el grupo dejó para robar datos y retenerlos para pedir un rescate.

“En general, los grupos de ransomware no parecen abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente que los afiliados trabajen con la competencia. No tenemos evidencia de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de 'recursos' en un mercado cada vez más competitivo. O tal vez creen que cuanto más presión se ejerce sobre un objetivo, es decir. múltiples ataques, más probable es que las víctimas paguen”, dijo Shier.

Aprovechando las brechas de otros ciberdelincuentes

El especialista de Sophos mencionó que es probable que los grupos delictivos estén llegando a acuerdos mutuamente beneficiosos donde, por ejemplo, uno encripta datos y el otro los extrae. “En algún momento, estos grupos tendrán que decidir cómo se sienten acerca de la cooperación, ya sea para abrazarla más o volverse más competitivos. Por ahora, el campo de juego está abierto para múltiples ataques por parte de diferentes grupos”, mencionó Shier.

El informe destaca que la mayoría de las infecciones iniciales de los ataques ocurrieron a través de una vulnerabilidad sin parches, siendo algunas de las más notables Log4Shell, ProxyLogon y ProxyShell. También se detectaron algunas mediante servidores de protocolo de escritorio remoto (RDP) no seguros y mal configurados.

Además, en la mayoría de los casos que involucran a múltiples atacantes, las víctimas no lograron remediar el ataque inicial de manera efectiva, dejando la puerta abierta para futuras actividades delictivas.

“Como se señaló en el último Active Adversary Playbook en 2021, Sophos comenzó a ver que las organizaciones eran víctimas de múltiples ataques simultáneamente e indicó que esta puede ser una tendencia creciente. Si bien el aumento de múltiples atacantes todavía se basa en evidencia anecdótica, la disponibilidad de sistemas explotables brinda a los ciberdelincuentes una amplia oportunidad para continuar avanzando en esta dirección”, detalló el especialista.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.