Ransomware de doble extorsión, la táctica de moda

Recientemente, en las operaciones del ransomware Conti se empezó a utilizar la táctica de la «doble extorsión», la cual consiste en un sitio de exposición de datos como parte de su estrategia de extorsión para obligar a las víctimas a pagar un rescate, o enfrentar la humillación pública.

Como hemos visto en los recientes ataques de ransomware, las víctimas han sido, en su mayoría, grandes empresas que pueden costear un rescate de archivos por una alta suma de dinero. Por ejemplo, Garmin recientemente decidió pagar a los ciberatacantes luego de ser víctima de un ataque de este tipo. De hecho, estudios afirman que el 70% de las grandes corporaciones han pagado por obtener sus datos de regreso.

Las víctimas pueden ser de cualquier sector o industria, por ende, el espectro de acción que tienen los ciberdelincuentes es muy grande, siendo este tipo de ataques un blanco atractivo.

Debido a estos factores, y para poner más presión al asunto, las operaciones del ransomware As a Service (RaaS) Conti implementaron a su estrategia de ataque la táctica de la doble extorsión.

El sitio de brechas tiene 26 filtraciones expuestas hasta este momento.

Pero esta técnica no es nueva, previamente DoppelPaymer la utilizó imitandola del ransomware Maze, y así entre otros ransomware.

¿Qué significa? Que un ataque de ransomware puede traer consigo una brecha de datos, como un 2×1, si no se aborda de manera correcta.

En el caso del ransomware Conti, hay indicios de que además comparte código con Ryuk, un ransomware ya extinto enfocado en redes corporativas.

Las operaciones de ransomware que han utilizado esta técnica son Ako, Avaddon, Clop, CryLock, DoppelPaymer, Maze, MountLocker, Nemty, Nephilim, Netwalker, Pysa/Mespinoza, Ragnar Locker, REvil, Sekhmet, Snatch, y Snake.

Revisa recientes ataques de ransomware acá

Volvamos a Conti ¿Cómo opera?

Los atacantes utilizan la clásica puerta de entrada: Correos electrónicos de phishing, con enlaces maliciosos que buscan infectar a los empleados de la entidad objetivo con TrickBot y Emotet. Luego, este bot comienza a propagarse lateralmente dentro de la red, crea credenciales de administrador y finalmente se implementa el ransomware. 

  • El esquema de cifrado utilizado por Ryuk está diseñado para operaciones a pequeña escala, específicamente dirigido a activos y recursos cruciales, lo que sugiere que sus operadores lo utilizan para ataques ampliamente personalizados.
  • Los actores utilizan módulos del software de emulación de amenazas Cobalt Strike, el script DACheck y la herramienta PsExec.
  • En un incidente, el ransomware se implementó después de una infección promedio de dos semanas del troyano Trickbot.

Un poco más de historia…

  • Apareció por primera vez en agosto de 2018, se cree que el sofisticado ransomware es la creación de «Wizard Spider», un grupo de ciberdelincuentes con sede en Rusia.
  • Conti podría estar creado en base a Ryuk, el cual basa en el ransomware Hermes, este último fue utilizado por el Grupo Lazarus de Corea del Norte contra el Banco Internacional del Extremo Oriente de Taiwán (FEIB) en octubre de 2017.
  • Los expertos apuestan a que el grupo ruso compró el código fuente de Hermes en la dark web y lo actualizó con una nueva versión, la que hoy conocemos como «Ryuk».