Durante el año 2022, los analistas de seguridad de Kaspersky han sido testigos del aumento del uso de los servicios multiplataforma por parte de los grupos de ransomware. En la actualidad, su objetivo es dañar el mayor número posible de sistemas adaptando su código de malware a varios sistemas operativos a la vez. Kaspersky ya ha descrito grupos de este tipo que utilizaban lenguajes multiplataforma Rust o Golang, como Luna o BlackCat. Sin embargo, esta vez los grupos de ransomware denunciados despliegan un malware que no está escrito en un lenguaje multiplataforma, pero que puede dirigirse a varios sistemas operativos simultáneamente.
Uno de los grupos, RedAlert, emplea malware escrito en C plano, como se detectó en la muestra de Linux. Sin embargo, el malware desarrollado por RedAlert soporta explícitamente entornos ESXi. Además, el sitio web de RedAlert onion ofrece un descifrador para su descarga – desafortunadamente, no hay datos adicionales disponibles sobre si está escrito en lenguaje multiplataforma o no. Otro aspecto que diferencia a RedAlert de otros grupos de ransomware es que sólo aceptan pagos en la criptomoneda Monero, lo que hace que el dinero sea más difícil de rastrear. Aunque este enfoque podría ser razonable desde el punto de vista de los delincuentes, Monero no se acepta en todos los países ni en todas las casas de cambio, por lo que las víctimas podrían tener problemas para pagar el rescate.
Otro grupo de ransomware detectado en julio de 2022 es Monster, que aplica Delphi, un lenguaje de programación que, sin embargo, se expande en diferentes sistemas. Lo que hace especialmente peculiar a este grupo es que cuenta con una interfaz gráfica de usuario (GUI), un componente que nunca antes había sido implementado por grupos de ransomware. Además, los ciberdelincuentes ejecutan los ataques de ransomware a través de la línea de comandos de forma automatizada durante un ataque dirigido. Según la muestra extraída por los expertos de Kaspersky, los autores del ransomware Monster incluyeron la GUI como un parámetro opcional de la línea de comandos.
Monster realizó ataques a usuarios de Singapur, Indonesia y Bolivia.
GUI utilizada por Monster
El informe emitido por Kaspersky también cubre los llamados exploits 1-day utilizados para atacar en Windows 7-11. El exploit de 1 día suele dirigirse a un aprovechamiento de una vulnerabilidad ya parcheada, y siempre plantea una cuestión de política de parcheo dentro de la organización afectada. El ejemplo dado se refiere a la vulnerabilidad CVE-2022-24521 que permite a un atacante obtener privilegios del sistema en el dispositivo infectado. Los atacantes tardaron dos semanas en desarrollar los dos exploits, tras haberse revelado la vulnerabilidad, en abril de 2022. Lo más interesante de estos exploits es que son compatibles con diversas versiones de Windows. Esto suele indicar que los atacantes se dirigen a organizaciones comerciales. Además, ambos exploits comparten muchos mensajes de depuración. Uno de los casos detectados incluye ataques a una cadena de tiendas en la región de APAC – sin embargo, no hay datos adicionales sobre lo que los ciberdelincuentes estaban tratando de lograr.
«Nos hemos acostumbrado a que los grupos de ransomware desplieguen malware escrito en lenguaje multiplataforma. Sin embargo, en estos días los ciberdelincuentes han aprendido a ajustar sus códigos maliciosos escritos en lenguajes de programación sencillos para realizar ataques conjuntos, haciendo que los especialistas en seguridad desarrollen formas de detectar y prevenir los intentos de ransomware. Además, queremos llamar la atención sobre la importancia de revisar y actualizar constantemente las políticas de parches que aplican las empresas», comenta Jornt van der Wiel, analista senior de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.
Para protegerse como usuario y a las empresas de los ataques de ransomware, puedes seguir estas propuestas de Kaspersky:
- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras.
- Instalar lo antes posible los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en su red.
- Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades
- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Se debe prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Hacer copias de seguridad de los datos con regularidad. Se debe poder acceder rápidamente a ellos en caso de emergencia cuando los necesite.
- Utilizar soluciones como Kaspersky Endpoint Detection and Response Expert y el servicio Kaspersky Managed Detection and Response, que ayudan a identificar y detener el ataque en las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
- Para proteger el entorno corporativo, es básico educar a los empleados. Los cursos de formación dedicados pueden ayudar, como los que se ofrecen en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.
- Utilizar una solución de seguridad para endpoints fiable, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden impedir su eliminación por parte de los ciberdelincuentes.
- Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs reales utilizadas por los actores de amenazas. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para la TI de Kaspersky, que proporciona datos de ciberataques y perspectivas recopiladas por nuestro equipo durante 25 años.