2024, el año del ransomware dual
Los ataques de ransomware siguen al alza y evolucionan. 2023 se saldó con más víctimas que 2021 y 2022, como bien sabemos en Público tras haber sufrido un ciberataque a finales del pasado mes de octubre. No fue el único caso sonado, otro de los que más impacto tuvo fue el del hospital Clinic de Barcelona, que le obligó a paralizar buena parte de su actividad, recordando al que dos años atrás había sufrido el SEPE. Ahora comenzamos con 2024 con nuevas modalidades y amenazas: el ransomware dual.
Los ciberdelincuentes siempre buscan nuevas formas de atacar a sus víctimas, de vulnerar sus defensas y hacerse con sus archivos, bien para encriptarlos y pedir rescate, robarlos y amenazar con divulgarlos en la Dark Web o, sencillamente, provocar un daño reputacional del que siempre es complicado reponerse. Ya en 2023 pudimos ver cómo los ataques de ransomware se dirigían contra actores más débiles y con menores defensas informáticas de la cadena de suministro para, a partir de ahí, llegar a organizaciones más grandes, o la extensión de los ataques a las copias de seguridad para impedir una restauración de los sistemas.
2024 podría ser el año del ransomware dual. Ya en el último trimestre del año pasado el FBI advirtió de ello, emitiendo una notificación al sector privado en el que alertaba de esta nueva modalidad. Esta práctica consiste en la instalación de dos o más variantes de ransomware en una misma víctima, multiplicando los ataques en menos de diez días, produciéndose la mayoría de ellos con apenas 48 horas de diferencia entre sí.
En ocasiones, estos ataques consecutivos son ejecutados por dos actores diferentes que explotan una misma vulnerabilidad, pero por lo general la autoría corresponde a un mismo grupo ciberdelincuente que extorsiona por partida doble a la víctima. El modus-operandi consiste en la instalación de dos cepas diferentes de ransomware, activándose la segunda una vez resuelta –o pagado el rescate- de la primera. En su investigación, el FBI ha encontrado variantes de AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal, capaces de implementar múltiples tipos de código malicioso (malware) a la vez.
Según advierten los expertos, los criminales no reivindican ambos ataques, sino que es común que se hagan pasar por dos grupos ciberdelincuentes distintos. El motivo es obvio, a ninguno de estos grupos les interesa que se corra la voz de que incumplen su palabra de liberar los sistemas una vez pagado el rescate. Por otro lado, la codicia no tiene límites y en este mundo criminal, también se encuentra la figura del intermediario que podría estar cambiando. Se trata de actores que vendían el acceso a la víctima al mejor postor; una vez hecho, existía un acuerdo tácito de que esa venta se producía en exclusividad para que sólo un grupo pudiera beneficiarse del ataque, pero esto podría estar cambiando, vendiéndose el acceso a diversos grupos.
El ransomware dual pone en jaque a cualquier organización; si ya es complicado reponerse de uno, encadenar dos seguidos resulta es fatal. Hallar el punto de acceso del ataque no es una tarea sencilla, como tampoco averiguar qué sistemas son exactamente los comprometidos. En consecuencia, es habitual curarse en salud y desconectar más sistemas de lo que era preciso, lo que puede hacer a la organización más vulnerable de cara al segundo de los ciberataques.
A esta complejidad se suma la circunstancia de que se trate de dos atacantes distintos que coincidan en el tiempo y los segundos encripten los datos que ya habían encriptado los primeros. En esos casos, las posibilidades de corrupción de los datos se disparan, pudiendo hacerlos absolutamente irrecuperables. Además y de cara al efecto reputacional, ¿se imaginan las consecuencias si su plataforma de comercio electrónico favorita le comunica que el servicio está caído por un ciberataque y, apenas diez días después, vuelve a informarle de lo mismo?
Desde el punto de vista de la defensa ante este tipo de ataques, a las medidas que todos los expertos recomiendan –aplicando ya la Inteligencia Artificial para anticiparse a patrones de comportamiento anómalo de aplicaciones, tráfico de red, usuarios…-, se suma ahora entender cómo es la secuencia de ataque. En este sentido, expertos de Spycloud revelan en uno de sus últimos informes cómo en al menos un 30% de los casos de ransomware registrados en Norteamérica y Europa en 2023, las organizaciones fueron previamente infectadas por malware que robaba información. El objetivo sería vulnerar las ciberdefensas para, una vez analizado el tipo de respuesta que tiene la empresa o Administración, vender el acceso al ejecutor del ransomware.
(Artículo en Público)
Sin comentarios