Sophos detecta un triple ciberataque de ‘ransomware’: Hive, LockBit y BlackCat

Ni uno, ni dos, sino tres. Sophos ha detectado el ataque consecutivo a la misma red por parte de tres bandas conocidas de ransomware.

Se trata de Hive, LockBit y BlackCat. Cada una de ellas realizó su petición de rescate particular y algunos de los archivos analizados por los expertos de seguridad resultaron estar cifrados por partida triple.

Además, BlackCat se encargó de borrar el rastro de su actividad y el de los dos ransomware anteriores. Los dos primeros ataques se produjeron en un margen de dos horas, mientras que el siguiente aconteció a las dos semanas.

“Ya es bastante malo recibir un aviso de ransomware, no digamos ya tres”, comenta John Shier, asesor principal de seguridad de Sophos, que ha publicado el whitepaper Multiple Attackers: A Clear and Present Danger.

“Múltiples atacantes crean un nuevo nivel de complejidad para la recuperación, particularmente cuando los archivos de la red están triplemente encriptados”, dice Shier.

Por eso, “la ciberseguridad que incluye la prevención, la detección y la respuesta es fundamental para las empresas de cualquier tamaño y tipo”. Hoy, “ninguna es inmune”.

El análisis de Sophos revela que “los grupos de ransomware no parecen ser abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente a sus afiliados trabajar con sus competidores”.

“No tenemos pruebas de colaboración”, indica el asesor de seguridad de Sophos, “pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de ‘recursos’ en un mercado cada vez más competitivo“.

“O tal vez crean que cuanta más presión se ejerza sobre un objetivo (es decir, múltiples ataques), más probable será que las víctimas paguen”, valora.

“Tal vez mantengan conversaciones importantes, llegando a acuerdos mutuamente beneficiosos, por ejemplo, en los que un grupo encripta los datos y el otro los exfiltra”, sigue elucubrando John Shier.

Lo que parece evidente es que, “en algún momento, estos grupos tendrán que decidir qué opinan de su cooperación (si la adoptan o se vuelven más competitivos)”. De momento, “el campo de juego está abierto para múltiples ataques de diferentes grupos”, concluye Shier.

Lo habitual es que los criminales rivalicen entre sí por los recursos existentes, por lo que no se suele ver a varios atacantes operando a la vez.

Además, cuando tienen por objetivo el mismo sistema, sus ataques se espacian a lo largo de meses o incluso años. Los ataques analizados por Sophos, sin embargo, tuvieron poco tiempo de diferencia.