Ciberataques los fines de semana: así actúan los ransomware de moda, BitPaymer y Ryuk

Ayer se vivieron momentos difíciles tanto en Everis como en La Cadena SER. Ambas empresas fueron atacadas por un ransomware que hizo que se tomaran medidas para desconectar equipos de las redes y atajar un problema que cifra los datos de los equipos y exige un rescate para recuperarlos.

Según fuentes de la SER el ransomware utilizado fue Ryuk, mientras que los expertos apuntaban ayer a otra opción muy conocida: el llamado BitPaymer/iEncrypt. Ambos son ataques distintos al caos que creó WannaCry: se trata de ransomware dirigido a grandes empresas que pueden estar más dispuestas a resolver el problema rápido pagando el rescate. Eso, advertía el INCIBE, es justo lo que nunca se debe hacer.

BitPaymer lleva ya mucho tiempo actuando

Bernardo Quintero, fundador de VirusTotal, explicaba cómo por ejemplo la familia de ransomware BitPaymer/iEncrypt "lleva ya 3 años entre nosotros, siendo utilizado para ataques dirigidos contra empresas". La idea no es atacar de forma indiscriminada como sucedió con WannaCry en 2017: entonces hubo grandes empresas como Telefónica afectadas, pero también acabaron afectados muchos usuarios individuales.

Los ciberataques realizados con BitPaymer/iEncrypt llevan tiempo afectando a empresas muy concretas en Alemania, Canadá, Reino Unido o Estados Unidos "con variantes creadas para la ocasión", destacaba Quintero.

El pasado mes de octubre la empresa alemana Pilz sufría un ataque de este tipo, y en DarkReading hacían un análisis de esa amenaza creciente de BitPaymer, un ransomware adaptable que había afectado al menos a 15 empresas con entre 200 y 1.000 empleados en Estados Unidos en los últimos meses.

El correo es el origen (pero hay otras muchas opciones), el fin de semana es clave

La forma de actuar de BitPaymer comienza en muchos casos con correos maliciosos de phishing que por ejemplo se distribuyen con Dridex, un malware muy conocido que roba datos y credenciales.

Con este malware los ciberatacantes pueden acceder a credenciales del Directorio Activo de Windows utilizadas en las redes internas de la empresa víctima, y a partir de ahí realizan un reconocimiento de esa infraestructura para detectar servidores con información sensible y aquellos que pueden ser infectados.

Cuando tienen esos datos y el ciberataque preparado, planifican su puesta en marcha, pero lo hacen con una táctica muy peculiar: los inician el fin de semana, cuando el personal de la empresa, incluido el que se encarga de proteger los sistemas informáticos, está descansando. Morphisec, una empresa de seguridad, indicaba que los ataques "se dispersan a medida que los primeros empleados que vuelven al trabajo tras el fin de semana se autentican en la red comprometida".

Hay otros vectores de ataque, como explicaba Quintero. "Todas son posibles, este grupo ha utilizado en el pasado típicos adjuntos por email, drive-by download, accesos RDP, exploits... y una vez en la red interna empiezan a realizar movimientos laterales".

Este experto también destacaba que con BitPaymer/iEncrypt ese estudio previo de la red interna para infectarla antes de lanzar la "carga útil" (payload) y que los usuarios vean bloqueado el acceso a sus datos. "En este sentido es mucho más dañino que WannaCry", comentaba Quintero, porque entre otras cosas "si pueden te pillan hasta los sistemas de backup antes de lanzar el payload".

Ryuk, otro ransomware muy de moda

En octubre de 2019 un ransomware llamado Ryuk dejó KO la infraestructura del sistema sanitario de Alabama. Tres hospitales vieron toda su operativa afectada, lo que obligó a tomar una decisión difícil: acabaron pagando el rescate para poder volver a recuperar el control del sistema.

Mensaje de aviso que aparece en sistemas afectados por el ransomware Ryuk. Fuente: CrowdStrike.

El FBI ya había avisado esos días de un crecimiento en ciberataques con ransomware, y señalaban que en muchos casos estos ataques se basaban en campañas de correos de phishing, en vulnerabilidades del Remote Desktop Protocol de Windows y vulnerabilidades diversas del software como las que se dieron en herramientas de gestión de proveeodres de servicios remotos.

El origen del ataque estuvo en el ransomware Ryuk, otro de los tristemente famosos códigos maliciosos que según los expertos está gestionado por un grupo criminal en Rusia -y no Corea del Norte, como se asumió inicialmente- llamado Wizard Spider y que tiene un grupo operativo llamado Grim Spider. Dicho grupo había logrado amasar 3,7 millones de dólares en forma de bitcoin gracias a este tipo de actividad.

Este ransomware lleva actuando desde (al menos) agosto de 2018 según CrowdStrike, y como ocurre con BitPaymer el objetivo son grandes empresas que permiten lograr a menudo mayores posibilidades de pago de rescate. Este ransomware parece estar derivado de otro llamado Hermes que está a la venta en la dark web y que se puede personalizar para escenarios como el que ha acabado afectando a estas empresas.

El completo análisis de esta firma de seguridad revela cómo actúa un ransomware que realiza ese estudio previo de la red que acabará siendo víctima del ataque para luego activarlo. Eso provoca el cifrado de ficheros usando RSA-2048 y AES-256 con claves que se almacenan en el ejecutable, y el bloqueo afecta a ficheros, sistemas de almacenamiento(con llamadas como GetLogicalDrives) y máquinas remotas conectadas a la víctima (a través del protocolo ARP) y que acaban contagiándose con este malware.

Ryuk tiene particularidades como la de incluir en una "lista blanca" una serie de ficheros y carpetas que no cifra, algo que permite mantener la estabilidad del anfitrión y atacar solo a aquellos ficheros sensibles. Van a lo importante, y logran un ataque persistente que hace que reiniciar el sistema no sirva de nada, por ejemplo.

Este mismo ataque fue según El País el utilizado en la Cadena SER recientemente, aunque curiosamente esta empresa no recibió el mensaje .TXT en el que se suele pedir el rescate. Solo "había un archivo con el nombre del virus y una cuenta de correo". En la Cadena SER se han "centrado en preservar la emisión [radiofónica], lo que hemos logrado".

Desde el Instituto Nacional de Ciberseguridad (INCIBE) ya se alertó ayer del problema y aseguraron estar trabajando "en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte, como parte de nuestra operativa habitual". Este organismo tiene una recomendación clara en este tipo de ataques: no pagar nunca el rescate, algo que anima a los ciberdelicuentes a seguir operando de esta forma.

Ver todos los comentarios en https://www.xataka.com.co

VER 2 Comentarios

Portada de Xataka Colombia