Cada vez más víctimas de ransomware descubren que están siendo atacadas por múltiples pandillas, con ataques que tienen lugar en oleadas que pueden tener días o semanas de diferencia y, a veces, incluso ocurren simultáneamente, según el capo cibernético Sophos.
Al presentar sus hallazgos en Black Hat USA 2022 en Las Vegas, el equipo de Sophos X-Ops descubrió que las múltiples explotaciones de ransomware se reducen a dos problemas clave: el objetivo no pudo abordar las vulnerabilidades explotables significativas en sus sistemas (Log4Shell, ProxyLogon y ProxyShell son los más ampliamente usado); o que el objetivo no haya abordado las herramientas maliciosas o las configuraciones incorrectas que los atacantes anteriores habían dejado atrás.
Además, X-Ops, una unidad lanzada recientemente dentro de la empresa que está reuniendo a sus equipos de investigación y respuesta a amenazas para crear un centro de operaciones de seguridad (SOC) “asistido por IA”, dijo que en muchos casos, el acceso como un Las listas de servicios (AaaS) publicadas en los mercados de la web oscura por agentes de acceso inicial (IAB) se venden de forma no exclusiva, lo que significa que se venden a múltiples compradores muchas veces.
“Ya es bastante malo recibir una nota de ransomware, y mucho menos tres”, dijo John Shier, asesor principal de seguridad de Sophos. “Múltiples atacantes crean un nivel completamente nuevo de complejidad para la recuperación, particularmente cuando los archivos de red están triplemente encriptados. La seguridad cibernética que incluye prevención, detección y respuesta es fundamental para organizaciones de cualquier tamaño y tipo; ninguna empresa es inmune”.
En su libro blanco Múltiples atacantes: un peligro claro y presente, X-Ops comparte la historia de un incidente reciente en el que tres equipos de ransomware diferentes (Hive, LockBit y BlackCat) atacaron consecutivamente la misma red de la víctima, y los dos primeros incidentes se desarrollaron en el espacio de solo dos horas, mientras que el tercer ataque se produjo quince días después. En cada caso, cada pandilla dejó su propia demanda de rescate y algunos de los archivos de la víctima fueron encriptados tres veces.
Este ataque se remonta al 2 de diciembre de 2021, cuando un probable IAB estableció una sesión de protocolo de escritorio remoto (RDP) en el controlador de dominio de la víctima en una sesión que duró 52 minutos. Luego, todo quedó en silencio hasta el 20 de abril de 2022, cuando LockBit obtuvo acceso a la red, posiblemente, aunque no necesariamente, a través de la instancia RDP expuesta, y exfiltró datos de cuatro sistemas al servicio de almacenamiento en la nube Mega. Poco más de una semana después, el 28 de abril, el operador de LockBit comenzó a moverse lateralmente y ejecutó a Mimikatz para robar contraseñas.
Luego, el 1 de mayo, crearon dos scripts por lotes para distribuir el binario del ransomware utilizando la herramienta legítima PsExec. Tomó 10 minutos ejecutar el binario en 19 hosts, cifrar los datos y soltar notas de rescate. Sin embargo, en el espacio de 120 minutos, un afiliado de Hive apareció en la red utilizando la herramienta PDQ Deploy para distribuir su propio binario de ransomware, que se ejecutó en 45 minutos en 16 hosts.
El ataque BlackCat (también conocido como ALPHV) tuvo lugar el 15 de mayo, cuando un afiliado obtuvo acceso a la red, se movió lateralmente usando credenciales robadas y distribuyó sus binarios de ransomware, nuevamente usando PsExec. Estos se ejecutaron en seis hosts en 30 minutos, después de lo cual BlackCat comenzó a borrar los registros de eventos de Windows de la víctima relacionados no solo con su ataque, sino también con los de LockBit y Hive. Esto complicó significativamente las investigaciones posteriores de Sophos, que era, por supuesto, la intención de BlackCat.
El equipo de X-Ops dijo que las pandillas de delincuentes cibernéticos estaban compitiendo por recursos que en última instancia están limitados hasta cierto punto, lo que les dificulta operar simultáneamente, y en algunos de los otros ataques detallados en el extenso documento técnico, el equipo describió cómo otros tipos de el malware, como los criptomineros o los troyanos de acceso remoto (RAT), a menudo tienen la virtud de poder matar a los competidores si se encuentran.
Sin embargo, dijo Shier, en el caso de las pandillas de ransomware, parece haber un antagonismo menos abierto. “De hecho”, dijo, “LockBit no prohíbe explícitamente que los afiliados trabajen con la competencia, como se indica en el documento técnico de Sophos.
“No tenemos evidencia de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de ‘recursos’ en un mercado cada vez más competitivo. O tal vez creen que cuanta más presión se ejerza sobre un objetivo, es decir, múltiples ataques, es más probable que las víctimas paguen. Tal vez estén teniendo discusiones a un alto nivel, acordando acuerdos mutuamente beneficiosos, por ejemplo, donde un grupo encripta los datos y el otro los extrae.
“En algún momento, estos grupos tendrán que decidir cómo se sienten con respecto a la cooperación, ya sea para abrazarla más o volverse más competitivos, pero por ahora, el campo de juego está abierto para múltiples ataques por parte de diferentes grupos”.
Sophos informó anteriormente sobre ataques similares, a principios de este año, detallando la historia de una víctima del sector público de EE. UU. que fue víctima de un ataque particularmente desordenado, que también involucró a LockBit.
En este ataque, el compromiso inicial tuvo lugar en septiembre de 2021 a través de RDP y vio a un atacante obtener acceso a uno de los servidores de la víctima que luego usaron para investigar herramientas de piratería que luego intentaron instalar.
Sin embargo, en enero de 2022, alguien con acceso a la red comenzó a actuar de una manera que sugería que un grupo separado se había involucrado: la actividad se volvió más hábil y enfocada y, en última instancia, se produjo un ataque LockBit parcialmente exitoso.
Esto podría indicar varios escenarios diferentes, pero según la investigación de X-Ops, es muy probable que también sea un ejemplo de acceso vendido a varios grupos.
Al igual que con cualquier investigación que se basa en observaciones realizadas o incidentes a los que responde una sola empresa cibernética, es difícil decir con certeza estadística que los ataques múltiples son una tendencia, pero el director de respuesta a incidentes de Sophos, Peter MacKenzie, dijo que las señales apuntaban a una respuesta en el afirmativo. “Esto es algo que estamos viendo afectando a más y más organizaciones”, dijo.
Como siempre, la atención completa a algunos aspectos básicos de la higiene cibernética reducirá las posibilidades de ser víctima de cualquier ataque cibernético, y mucho menos de múltiples ataques simultáneos.
Los mejores consejos incluyen aplicar parches temprano y con frecuencia, y asegurarse de que los parches se apliquen correctamente; monitorear la comunidad cibernética y la agenda de noticias para estar al tanto de nuevas vulnerabilidades; monitorear y responder a alertas, particularmente fuera de las horas pico, los fines de semana o días festivos; bloquear los servicios accesibles utilizados por VNC, RDP y similares; practicar la segmentación y la confianza cero; hacer cumplir contraseñas seguras y autenticación multifactor (MFA); hacer inventarios de todos los bienes y cuentas; usar protección en capas para bloquear a los atacantes en más de un punto y extenderla a todos los puntos finales permitidos; y configurar los productos correctamente y revisarlos con frecuencia.
