Ryuk, DoppelPaymer, Dharma y otros tipos de ransomware «operados por humanos» aparecen cada vez más y de forma más sofisticada, advierte Microsoft.
Según los investigadores los rescates «auto-distribuidos» – como WannaCry y NotPetya – llegan a los titulares debido a los tiempos de bloqueo que estos ataques causan. Sin embargo, los rescates «operados por humanos» – como REvil, Bitpaymer y Ryuk – están adoptando nuevas técnicas que les permiten operar sin restricciones en las redes.
Por ejemplo, estos ransomware «operados por humanos» se centran en cuentas comprometidas con altos privilegios. Están exhibiendo un amplio conocimiento de la administración de sistemas y de las malas configuraciones de seguridad de las redes comunes. Los investigadores dicen que también son capaces de adaptarse una vez que han infectado inicialmente un sistema y establecer un punto de apoyo en las máquinas. Esto permite a estos atacantes de la próxima generación de ransomware seguir infiltrándose en los entornos objetivo, dijeron los investigadores del Equipo de Inteligencia de Protección de Amenazas de Microsoft.
Los atacantes se infiltran en un sistema y proceden a desplegar los programas de ransonware, el robo de credenciales y otros ataques, todo ello en menos de una hora, lo que disminuye las posibilidades de que las víctimas afectadas intervengan.
Los investigadores siguieron la pista de un grupo popular que utilizaba este método, al que llamaron Parinacota (que despliega el ransonware también conocido como Dharma) durante 18 meses. Con el tiempo, el grupo ha ido creciendo hasta llegar a atacar a tres o cuatro organizaciones semanalmente; así como ha evolucionado sus tácticas y objetivos para «utilizar las máquinas comprometidas para varios propósitos, incluyendo la minería de criptografía, el envío de correos electrónicos de spam o como proxy para otros ataques».
Parinacota emplea el método de «Smash-and-Grab». Primero se abren paso a fuerza bruta en servidores vulnerables con Protocolo de Escritorio Remoto (RDP) expuestos a Internet y luego rápidamente buscan otros sistemas vulnerables dentro de la red. Luego realizan más ataques de fuerza bruta RDP contra nuevos objetivos dentro de la red, permitiéndoles moverse lateralmente. Posteriormente, realizan el robo de credenciales, despliegan malware criptográfico y entregan la carga final con el ransomware.
Los operadores de Parinacota también muestran un profundo conocimiento de sus objetivos, cambiando a menudo el pago del rescate que piden (que puede variar entre 0,5 y 2 Bitcoin) en función de la probabilidad de lo que la víctima pagaría por el impacto en su empresa o la importancia percibida del objetivo.
«Otras familias de malware como GandCrab, MegaCortext, LockerGoga, Hermes y RobbinHood también han utilizado este método en ataques dirigidos con rescate», dijeron los investigadores. «Parinacota, sin embargo, también se ha observado que se adapta a cualquier camino de menor resistencia que puedan utilizar. Por ejemplo, a veces descubren sistemas sin parches y utilizan las vulnerabilidades reveladas para obtener el acceso inicial o elevar los privilegios».
Otra característica de este tipo de campañas operadas por humanos es que a menudo comienzan con malware básico, como los troyanos bancarios. Estos vectores de ataque se consideran «poco sofisticados» y tienden a ser considerados como poco importantes y, por lo tanto, no se investigan y remedian a fondo, según los investigadores, lo que permite a los operadores de ransomware eludir a los defensores.
Esta técnica ha demostrado ser exitosa para Ryuk, visto en un ataque este pasado fin de semana que golpeó a Epiq Global, lo que causó que la compañía de servicios legales retirara sus sistemas de la red a nivel mundial, según un informe de esta semana del sitio de noticias LawSites. Los medios de comunicación informaron que el ataque comenzó con el malware TrickBot infectando un ordenador en el sistema de Epiq en diciembre. Después de que TrickBot fuera instalado, informó de que había abierto una shell inversa a los operadores de Ryuk, permitiéndoles acceder a los dispositivos de la red y encriptar los archivos de las computadoras infectadas.
«De hecho, los investigadores han encontrado artefactos que indican que las redes afectadas han sido comprometidas por varios atacantes durante varios meses antes de que se lleve a cabo el bloqueo, lo que demuestra que estos ataques (y otros) tienen éxito y no se resuelven en las redes en las que no se aplica la diligencia en los controles de seguridad y la supervisión», dijeron los investigadores.
Para prevenir este tipo de ataques de rescate se requiere un cambio de mentalidad. Los equipos de defensa deben centrarse en «la protección integral necesaria para frenar y detener a los atacantes antes de que puedan tener éxito», dijeron.
«Los ataques operados por humanos continuarán aprovechando las debilidades de seguridad para desplegar ataques destructivos hasta que los defensores apliquen de manera consistente mejores prácticas de seguridad en sus redes», dijeron.
Para mantenerse al día, los equipos de defensa necesitan integrar mejor a los profesionales de IT en los equipos de seguridad, ya que los atacantes se aprovechan de las configuraciones que muchos administradores de IT gestionan y controlan. Los equipos de seguridad también deben abordar la vulnerabilidad de la infraestructura que inicialmente permitió la entrada de los atacantes, porque estos grupos suelen atacar a los mismos objetivos varias veces. Asimismo, los equipos de seguridad deben comprender que las alertas de malware aparentemente poco frecuentes, básicas o aisladas pueden indicar la aparición de nuevos ataques más peligrosos.
«Si se da prioridad inmediata a estas alertas, los equipos de operaciones de seguridad pueden mitigar mejor los ataques y evitar el despliegue del ransomware», dijeron los investigadores. «Las infecciones de malware como Emotet, Dridex y Trickbot deben ser remediadas y tratadas como un potencial compromiso total del sistema, incluyendo cualquier credencial presente en él».