Los desarrolladores de dos familias de ransomware recientemente emergentes, RedAlert y Monster, están utilizando técnicas novedosas para propagar sus ataques lo más ampliamente posible al explotar múltiples sistemas operativos (SO) diferentes al mismo tiempo, según una investigación compartida por el gigante cibernético Kaspersky.
El uso de ransomwares multiplataforma no es nada nuevo como tal. De hecho, Kaspersky dijo que ha sido testigo de su “uso prolífico” este año.
El objetivo de estos ransomwares es poder dañar tantos sistemas como sea posible adaptando su código a varios sistemas operativos a la vez.
Sin embargo, mientras que otros ransomware multiplataforma, como Luna o BlackCat, usan lenguajes multiplataforma como Rust o Go/Golang, RedAlert y Monster no están escritos en un lenguaje multiplataforma, pero conservan la capacidad de apuntar a varios sistemas operativos simultáneamente.
“Nos hemos acostumbrado bastante a los grupos de ransomware que implementan malware escrito en un lenguaje multiplataforma”, dijo Jornt van der Wiel, investigador sénior de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “Sin embargo, en estos días, los ciberdelincuentes aprendieron a ajustar su código malicioso escrito en lenguajes de programación simples para ataques conjuntos, lo que hizo que los especialistas en seguridad elaboraran formas de detectar y prevenir los intentos de ransomware”.
RedAlert, que también se conoce como N13V, está codificado en C simple y antiguo, o al menos la versión dirigida a Linux que Kaspersky diseccionó, y se dirige explícitamente a los servidores VMware ESXi basados en Windows y Linux. Incorpora opciones de línea de comandos que permiten que sus controladores busquen y apaguen cualquier máquina virtual (VM) en ejecución antes de cifrar los archivos asociados con las VM ESXi.
Su sitio web oscuro ofrece un descifrador para descargar que, según el grupo, está disponible para todas las plataformas, aunque Kaspersky no ha podido verificar si el descifrador está escrito en un lenguaje multiplataforma. Por lo demás, RedAlert utiliza tácticas de doble extorsión bastante estándar.
Otro punto digno de mención, aunque no relacionado, es que RedAlert solo acepta pagos de rescate en la criptomoneda Monero, que no se acepta en todos los países ni en todos los intercambios, lo que dificulta los pagos para la víctima.
“Dado que el grupo es relativamente joven, no pudimos averiguar mucho sobre la victimología, pero RedAlert se destaca como un ejemplo interesante de un grupo que logró ajustar su código escrito en C a diferentes plataformas”, dijeron los investigadores.
El ransomware Monster, detectado por primera vez en julio de 2022 por el sistema de monitoreo Darknet de Kaspersky, está escrito en el lenguaje Delphi de propósito general que se expande en diferentes sistemas. Sin embargo, este grupo se destaca porque incluye una interfaz gráfica de usuario (GUI), un componente que ningún otro equipo conocido de ransomware ha implementado antes.
Kaspersky admitió que esta función les resultaba algo desconcertante. “Esta última propiedad es especialmente peculiar, ya que no recordamos haberla visto antes”, dijo. “Hay buenas razones para esto, porque ¿por qué uno se esforzaría por implementar esto cuando la mayoría de los ataques de ransomware se ejecutan mediante la línea de comandos de forma automatizada durante un ataque dirigido?
“Los autores del ransomware también deben haberse dado cuenta de esto, ya que incluyeron la GUI como un parámetro de línea de comandos opcional”.
Kaspersky ofrece más información sobre estos dos ransomwares, incluidas varias capturas de pantalla, así como inteligencia adicional sobre las vulnerabilidades utilizadas en sus ataques.
