Mientras el criptominado y el cryptojacking han acaparado todos los focos en los últimos meses, una amenaza que surgió mucho antes de los devastadores ataques masivos de ransomware como WannaCry o NotPetya ha estado ganando fuerza.
Se trata de los ataques dirigidos de ransomware, aquellos que secuestran información mediante el cifrado de datos de una empresa que ha sido identificada como vulnerable a nivel de ciberseguridad.
A diferencia de los ataques de WannaCry o NotPetya, que eran masivos e indiscriminados, esta amenaza dirigida se ha convertido en una tendencia entre los ataques de ransomware debido a que son más sigilosos y sofisticados, al tiempo que son más lucrativos para los ciberdelincuentes, más difíciles de detener, fáciles de reproducir y más devastadores para sus víctimas que aquellos que dependen de los correos electrónicos o exploits para propagarse.
Los ciberdelincuentes detrás de los ataques dirigidos de ransomware actúan de forma diferente. Se basan en tácticas que se pueden repetir con éxito, recurren a herramientas básicas y usan un ransomware difícil de analizar al no propagarse masivamente y gracias a su capacidad de autodestruirse.
Y si bien la huella de un ataque dirigido es pequeña en comparación con un brote o una campaña de spam, puede conseguir más dinero de una única víctima que con todos los rescates juntos de WannaCry.
Los ataques dirigidos pueden bloquear el acceso de pequeñas empresas a sus sistemas o paralizar organizaciones enteras, tal como se demostró en un reciente ataque de SamSam contra la ciudad de Atlanta. Sin embargo, por cada ataque similar al de Atlanta que vemos en los medios, muchos otros no se denuncian. A los atacantes no les importa si las víctimas son grandes o pequeñas organizaciones, todo lo que importa es cómo de vulnerables son.
Anatomía de un ataque dirigido
Los seis pasos que sigue un ciberdelincuente en ataque dirigido:
1.Obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil.
2.Escala sus privilegios hasta que se convierten en administradores.
3.Utiliza los derechos de acceso ganados para contrarrestar el software de seguridad.
4.Extiende y ejecuta el ransomware que cifra los archivos de la víctima.
5.Deja una nota exigiendo el pago a cambio de descifrar los archivos.
6.Espera a que la víctima se comunique con ellos por correo electrónico o a través de la dark web.
Aunque el perfil de cada ataque es muy similar, lo que hace que los ataques dirigidos sean tan temibles es que los ciberdelincuentes tienen la capacidad de adaptarse e improvisar en cada uno de sus ataques.
La similitud entre los ataques y atacantes no es el resultado de la coordinación, sino de una convergencia en torno a un método que funciona.
Esta convergencia incluye incluso aspectos como ofertas especiales y brindan a sus víctimas la oportunidad de descifrar uno o dos archivos de forma gratuita y así demostrar que pueden hacerlo, esto es el equivalente a la «prueba de vida» de un secuestrador.
En un ataque dirigido, el trabajo del agresor es penetrar en la red de la víctima y maximizar las posibilidades de que el ransomware tenga éxito.
El golpe de gracia en un ataque dirigido ocurre cuando el atacante se ha situado en una posición lo suficientemente fuerte para ejecutar su ransomware sin problemas.
Estos son algunos de los ransomware dirigidos más destacados:
Dharma
Los ataques de Dharma (también conocido como Crysis) parecen funcionar con un sencillo script genérico permitiendo a los atacantes acceder y descargar aquello que necesitan para ejecutar un ataque desde Internet tales como: exploits para escalar sus privilegios, herramientas de administración o solución de problemas para enfrentar el software de seguridad, y finalmente el ransomware en sí.
Aunque simple, los ataques muestran más variabilidad, y ocurren a una frecuencia mucho mayor, que los ataques de SamSam o BitPaymer, lo que puede indicar que el Dharma es utilizado por diversos grupos.
Una vez que el atacante está dentro de la red de la víctima, colocan el ransomware en uno o más de sus servidores manualmente. Como consecuencia, los ataques a menudo tienen un alcance limitado, afectando solo a unos pocos servidores.
Las peticiones de rescate se realizan por correo electrónico usando una dirección que se especifica en la nota de rescate.
La mayoría de los ataques de Dharma parecen haber afectado a pequeñas empresas de hasta 150 usuarios, aunque no se sabe si esto es casualidad o se debe a una estrategia deliberada.
SamSam
El malware SamSam apareció por primera vez en diciembre de 2015 y desde entonces se han depositado más de 6 millones de dólares en Bitcoin. El patrón de ataques y la evolución del malware SamSam sugieren que es obra de una persona o un grupo pequeño.
Los ataques tienen una frecuencia baja (alrededor de uno por día) en comparación con otros tipos de ransomware, pero sus ataques son devastadores.
Después de irrumpir a través del RDP, el atacante intenta escalar sus privilegios al nivel de Domain Admin para que puedan implementar el malware SamSam en toda una red, al igual que un administrador de sistemas que implementa un software normal.
El atacante parece esperar hasta que las víctimas se duerman antes de desatar el malware en cada máquina infectada al mismo tiempo, dando así a la víctima poco tiempo para reaccionar o priorizar, y paralizando potencialmente su red.
Una nota de rescate exige el pago de hasta 50.000 dólares en bitcoins y dirige a las víctimas a un sitio en la dark web.
Cada víctima tiene su propia página en el sitio donde puede hacer preguntas al atacante y recibir instrucciones sobre cómo descifrar sus archivos.
Para obtener más información sobre SamSam, puede leer esta investigación de Sophos, SamSam: El ransomware de casi seis millones de dólares.
BitPaymer
El malware más misterioso y sofisticado de nuestra lista es BitPaymer. Poco se sabe sobre este elusivo malware, o cómo se implementa (puede leer acerca de uno de los trucos que utiliza para ocultarse en nuestro artículo, Cómo ransomware BitPaymer cubre sus pistas).
Lo que parece cierto es que este ransomware ‘high-end’ ha recaudado una gran cantidad de dinero para sus creadores.
Se han informado demandas de rescate de seis cifras, de hasta 500.000 dólares, y el análisis de las direcciones conocidas de BitPaymer Bitcoin muestran que se ha recaudado al menos 1 millón de dólares en el último mes.
Las notas de rescate contienen direcciones de correo en proveedores de correo electrónico seguros, pero el método para acordar pagos varía: algunos simplemente incluyen una dirección de Bitcoin, mientras que otros ofrecen una URL en la dark web, como SamSam.
En algunos ataques, las víctimas también han sido amenazadas con doxing, es decir, la publicación de su información personal.
