¿Cómo es el ransomware que afecta a los milmillonarios?

Los ataques ransomware se han convertido en la amenaza más temida por las empresas de todo tipo, desde las más grandes hasta las más pequeñas.

Además, este tipo de ataques ha evolucionado a lo largo del tiempo, con el fin de aumentar la coerción ejercida a las compañías para que cedan al chantaje y abonen el pago exigido. Por ejemplo, estamos viendo ataques de doble y triple extorsión, en los que los ciberdelincuentes, además de cifrar los datos y solicitar un rescate para recuperar el control sobre los mismos, también roban la información y amenazan con filtrarla. Incluso se están produciendo ataques de triple extorsión, en los que se demanda a los clientes de las empresas afectadas el pago de una cantidad menor para que sus datos no sean publicados.

A la par, el pago medio solicitado para recuperar los datos se ha disparado, creciendo un 171% en el último año, hasta situarse en 312.493 dólares, según el informe ‘2021 Unit 42 Ransomware Threat Report’, de Palo Alto Networsks. Y en algunos casos, las cantidades exigidas son escandalosas. Por ejemplo, el grupo REvil reclamó 50 millones de dólares a Acer para desencriptar sus datos. Y esta misma semana, el mismo grupo ha atacado a JBS, una de las empresas cárnicas más grandes del mundo, se ha visto obligada a abonar 11 millones de dólares para recuperar sus datos. Asimismo, se cree que Garmin podría haber cedido al chantaje de Evil Corp., pagando 10 millones de dólares. Y Colonial Pipeline también ha reconocido haber satisfecho un rescate de 4,4 millones de dólares a DarkSide.

En una línea similar, Nefilim se enfoca en empresas con ingresos por encima de los 1.000 millones de dólares, convirtiéndose en el grupo que obtiene los mayores ingresos medios. Según explica el informe ‘Modern ransomware’s double extortion tactics and how to protect enterprises against them’, elaborado por Trend Micro, este grupo perpetra lo que denomina “ataques modernos de ransomware”.

Dicho estudio desvela cuál es el modus operandi de Nefilim en estos ataques. En primer lugar, el grupo consigue un acceso inicial que explota credenciales débiles en servicios RDP expuestos u otros servicios HTTP de cara al exterior. Una vez dentro, emplea herramientas de administración legítimas para el movimiento lateral, con el objetivo de encontrar sistemas valiosos para el robo de datos y el cifrado.

Después, se configura un sistema de ‘llamada a casa’ con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS. Asimismo, se utilizar ‘servicios de alojamiento a prueba de balas’ para los servidores Comando & Control (C&C).

Cuando todo está preparado, se exfiltran los datos y se publican en sitios web protegidos por TOR, con el fin de chantajear a las víctimas. Nefilim publicó alrededor de 2 TB de datos el año pasado. Finalmente, cuando se han extraído suficientes datos, la carga útil del ransomware se lanza manualmente.

Trend Micro advierte que estos grupos cibercriminales están usando herramientas legítimas, como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para que sus ataques ransomware permanezcan ocultos. La compañía señala que la utilización de estas herramientas dificulta que los analistas de los SOC que examinan los registros de eventos tengan una visión general del panorama general y detecten los ataques, facilitando que los ciberdelincuentes alcancen sus objetivos.

David Ramos

Soy periodista freelance especializado en información económica, gestión empresarial y tecnología. Yo no elegí esta especialidad. Fue ella la que me escogió a mí.

Recent Posts

Silicon Pulse: Titulares de la semana #33

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

1 hora ago

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

10 horas ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

10 horas ago

Los ingresos trimestrales de NVIDIA aumentan un 94 %

Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.

12 horas ago

Sage concluye “un año de éxito”

Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…

12 horas ago

Inetum quiere duplicar su plantilla en Aragón

Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…

13 horas ago