fbpx
Top

Ransomware simultáneo o cómo los hackers atacan en manada

Ransomware simultáneo

Ransomware simultáneo o cómo los hackers atacan en manada

Imagina a tres “kraken” intentando hundir el mismo barco: así opera el ransomware simultáneo. Pueden ser lobos o leones: el efecto es el mismo.

 

Podría pensarse que se requiere un objetivo de gran tamaño. Pero no hay una condición mínima indispensable. 

Lo cierto es que, después de haber sido cazados y apresados, los grupos de ransomware aprendieron. Y esas NO son buenas noticias. 

No bastaba con que formarán grupos organizados e, inclusive, corporaciones de crimen organizado… que es la manera más simple de entender al llamado RaaS (Ransomware-como-un-Servicio, por sus siglas en inglés). 

Afortunadamente, hay gente observando. Y aprendiendo también. De hecho, Sophos realizó un reporte técnico en el que describe la forma en la que Hive, LockBit y BlackCat, tres destacados grupos de ransomware, atacan y colaboran para vulnerar un mismo sistema.

En este punto quizás deba recordarse que este comportamiento no es, exactamente, normal. De hecho, generalmente, los grupos delictivos compiten por los recursos que robarán, lo que dificulta que varios atacantes operen simultáneamente.

Comportamiento contraintuitivo

Por ello, por ejemplo los criptomineros, normalmente, eliminan a sus competidores en el mismo sistema y ​​las RAT de hoy en día destacan por su capacidad de eliminación de bots como una característica particular.

Pero eso no fue lo que Sophos detectó en, al menos, dos ataques y documentó en su informe técnico

El mismo indica que:

  • Los primeros dos ataques tuvieron lugar en un periodo de dos horas
  • Mientras el tercero se desarrolló dos semanas después
  • Cada grupo de ransomware dejó su propia demanda de pago por rescate
  • Y algunos de los archivos fueron triplemente encriptados

El asesor principal de seguridad de Sophos, John Shier, describe –  perfectamente – lo que este ataque de manada o comando constituye:

“Ya es bastante malo recibir una nota de ransomware, pero más aún tres.Tener a múltiples atacantes simultáneamente genera un nivel completamente nuevo de complejidad para la recuperación, particularmente cuando los archivos de red están triplemente encriptados”, detalló.

Rasomware simultáneo y al cubo

Shier señala que, en el informe técnico “Multiple Attackers: A Clear and Present Danger”, se describe la forma en la que Hive, LockBit y BlackCat llevaron a cabo esta operación además de casos adicionales de ciberataques superpuestos, incluidos: 

  • Criptomineros 
  • Troyanos de acceso remoto (RAT) 
  • Y bots

El ejecutivo destacó que, en el pasado, cuando varios atacantes se dirigían al mismo sistema, generalmente lo hacían en periodos de meses, o hasta durante varios años.

Por el contrario, los descritos en el documento técnico de Sophos tuvieron lugar con días o semanas de diferencia y, en uno de ellos, simultáneamente. I Incluso accedieron a la red del objetivo a través del mismo punto de entrada vulnerable… lo cual habla de un cruce claro de informacion. 

Además, el ataque mostró que BlackCat – el último grupo de ransomware en el sistema – no solo eliminó los rastros de su propia actividad, sino que también eliminó la actividad de LockBit y Hive. 

Periodista apasionada por la innovación, la tecnología y la creatividad. Editora de The Standard CIO y Factory Pyme para The HAP GROUP