¿Cómo es el ransomware que afecta a los milmillonarios?

Los ataques ransomware se han convertido en la amenaza más temida por las empresas de todo tipo, desde las más grandes hasta las más pequeñas.

Además, este tipo de ataques ha evolucionado a lo largo del tiempo, con el fin de aumentar la coerción ejercida a las compañías para que cedan al chantaje y abonen el pago exigido. Por ejemplo, estamos viendo ataques de doble y triple extorsión, en los que los ciberdelincuentes, además de cifrar los datos y solicitar un rescate para recuperar el control sobre los mismos, también roban la información y amenazan con filtrarla. Incluso se están produciendo ataques de triple extorsión, en los que se demanda a los clientes de las empresas afectadas el pago de una cantidad menor para que sus datos no sean publicados.

A la par, el pago medio solicitado para recuperar los datos se ha disparado, creciendo un 171% en el último año, hasta situarse en 312.493 dólares, según el informe ‘2021 Unit 42 Ransomware Threat Report’, de Palo Alto Networsks. Y en algunos casos, las cantidades exigidas son escandalosas. Por ejemplo, el grupo REvil reclamó 50 millones de dólares a Acer para desencriptar sus datos. Y esta misma semana, el mismo grupo ha atacado a JBS, una de las empresas cárnicas más grandes del mundo, se ha visto obligada a abonar 11 millones de dólares para recuperar sus datos. Asimismo, se cree que Garmin podría haber cedido al chantaje de Evil Corp., pagando 10 millones de dólares. Y Colonial Pipeline también ha reconocido haber satisfecho un rescate de 4,4 millones de dólares a DarkSide.

En una línea similar, Nefilim se enfoca en empresas con ingresos por encima de los 1.000 millones de dólares, convirtiéndose en el grupo que obtiene los mayores ingresos medios. Según explica el informe ‘Modern ransomware’s double extortion tactics and how to protect enterprises against them’, elaborado por Trend Micro, este grupo perpetra lo que denomina “ataques modernos de ransomware”.

Dicho estudio desvela cuál es el modus operandi de Nefilim en estos ataques. En primer lugar, el grupo consigue un acceso inicial que explota credenciales débiles en servicios RDP expuestos u otros servicios HTTP de cara al exterior. Una vez dentro, emplea herramientas de administración legítimas para el movimiento lateral, con el objetivo de encontrar sistemas valiosos para el robo de datos y el cifrado.

Después, se configura un sistema de ‘llamada a casa’ con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS. Asimismo, se utilizar ‘servicios de alojamiento a prueba de balas’ para los servidores Comando & Control (C&C).

Cuando todo está preparado, se exfiltran los datos y se publican en sitios web protegidos por TOR, con el fin de chantajear a las víctimas. Nefilim publicó alrededor de 2 TB de datos el año pasado. Finalmente, cuando se han extraído suficientes datos, la carga útil del ransomware se lanza manualmente.

Trend Micro advierte que estos grupos cibercriminales están usando herramientas legítimas, como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para que sus ataques ransomware permanezcan ocultos. La compañía señala que la utilización de estas herramientas dificulta que los analistas de los SOC que examinan los registros de eventos tengan una visión general del panorama general y detecten los ataques, facilitando que los ciberdelincuentes alcancen sus objetivos.

David Ramos

Soy periodista freelance especializado en información económica, gestión empresarial y tecnología. Yo no elegí esta especialidad. Fue ella la que me escogió a mí.

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago