Resumen

Desde diciembre de 2019, los operadores de ransomware vienen empleando ataques híbridos de ransomware y leakware con cada vez mayor frecuencia. Estos ataques combinan el clásico ataque de ransomware con un ataque de leakware. En los ataques de ransomware clásicos, los datos de la víctima se cifran, descifrándose únicamente una vez la víctima haya pagado un rescate a los autores. En los ataques de leakware, se roban los datos y se chantajea a la víctima con su publicación para que pague cierto importe. En un ataque híbrido de leakware y ransomware, los datos primero se roban, y después se cifran. A continuación, se exige a la víctima que pague un rescate para descifrarlos. Si la víctima se niega a pagar el rescate, los atacantes la amenazan con publicar los datos robados. En algunos casos, los atacantes establecen contacto con socios o clientes de la víctima, informándoles de la próxima publicación de los datos para aumentar la presión sobre la víctima.

En este artículo describimos cómo funcionan estos ataques híbridos de leakware y ransomware, en qué se diferencian de los ataques de ransomware clásicos, y cómo puede protegerse de ellos.

Detalles

Con el auge de las criptomonedas, el ransomware ha ganado popularidad entre los ciberdelincuentes. Aunque el ransomware ya existía antes de las criptomonedas, éstas han simplificado enormemente la logística del pago de rescates.

Según ID Ransomware, un servicio gratuito para la identificación de ransomware, existen 928 tipos de ransomware distintos1.

El ransomware suele distribuirse e implementarse mediante malware de otro tipo. Un vector de ataque frecuente es el correo electrónico. La cadena de infección típica durante un ataque de ransomware es la siguiente:

Cadena de infección de ataque de ransomware mediante correo electrónico

La motivación de los responsables del ransomware es económica. Su ransomware cifra los datos de la víctima. Los atacantes solo acceden a descifrar los datos si la víctima paga un rescate.

Los rescates exigidos pueden ir de unos centenares de euros por ordenadores individuales, a varios millares para pequeñas empresas o incluso millones para grandes corporaciones y/u organismos públicos. El rescate más elevado jamás pagado del que se tenga noticia fue de 4,5 millones de dólares, aportado por la agencia de viajes estadounidense CWT2.

El ransomware clásico

En un caso clásico de ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones en casos de ransomware

Nuevo híbrido de leakware y ransomware

Desde diciembre de 2019, los responsables de la operación de ransomware conocida como Maze comenzaron a combinar el ransomware con un ataque previo conocido como leakware.

En un ataque de leakware se sustraen datos a la víctima para, a continuación, amenazarla con publicarlos si ésta se resiste a pagar un rescate. Por tanto, el leakware es lo contrario del ransomware: en lugar de denegar a la víctima el acceso a sus datos, dicho acceso se concede a todo el mundo si la víctima no paga.

Este nuevo esquema híbrido combina leakware y ransomware. Con este propósito, antes de cifrar los datos de la víctima con ransomware, los responsables los sustraen para, a continuación, amenazar con su publicación si la víctima se niega a pagar el rescate.

Adicionalmente, algunos operadores de ransomware se ponen en contacto con los socios o clientes de la víctima, cuyos datos también suelen encontrarse entre los que se van a publicar. Los responsables del ransomware Clop son famosos por operar así. Esta técnica incrementa la presión sobre las víctimas para que paguen el rescate.

En el nuevo híbrido de leakware y ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones de ranshameware

El problema para las víctimas es que, incluso si pagan el rescate, no tienen más garantía de que los datos filtrados vayan a eliminarse que la palabra de unos delincuentes. Los datos sustraídos podrían venderse en el mercado negro, emplearse en futuros ataques e incluso para volver a extorsionar a la misma víctima en un momento posterior.

Ejemplo: el ransomware Clop

Con el ejemplo del ransomware Clop, a continuación describiremos el desarrollo de un ataque híbrido con leakware y ransomware.

El ransomware Clop está controlado por un operador conocido comúnmente como TA505. Hornetsecurity ya ha informado anteriormente sobre sus actividades3. El acceso inicial se obtiene mediante un correo malicioso. TA505 se dedica a la caza mayor, apuntando específicamente a grandes corporaciones con grandes ingresos. Si un destinatario abre el correo y sigue las instrucciones, que suelen implicar descargar un documento malicioso y permitirle que ejecute macros, se convierte en víctima. A continuación, el código de macro contenido en el documento descarga un troyano de administración remota (RAT, por sus siglas en inglés). Este RAT permite a los atacantes obtener acceso remoto al ordenador de la víctima. A continuación, el RAT se emplea para desplazarse lateralmente por la red de la empresa de la víctima y recopilar información adicional. Aparte de esto, suelen emplearse otras herramientas (como las del framework Cobalt Strike) para obtener derechos de administrador de dominio. A continuación se extraen datos valiosos. Por datos de víctimas publicados en el pasado, sabemos que estos datos suelen abarcar el contenido íntegro de los discos compartidos de la empresa infectada. En algún momento, el ransomware Clop se despliega por toda la empresa para cifrar e incapacitar el mayor número de sistemas posible, maximizando así el perjuicio a la empresa.

A continuación, los operadores del ransomware Clop envían a la víctima a un sitio web con la nota de secuestro alojado en un servicio oculto de Tor. La página web de la nota de secuestro incluye detalles acerca del rescate y de cómo pagarlo.

Página del descifrador de Clop

Dependiendo del tamaño de la empresa y de sus beneficios estimados, el rescate exigido puede ascender a millones de euros. Recordemos que TA505 se dedica a la caza mayor, es decir, que se centra solo en grandes corporaciones con elevados ingresos. La página web de la nota de secuestro también contiene un temporizador y una amenaza de doblar el precio si el rescate no se paga puntualmente.

Para demostrar a la víctima que los archivos pueden descifrarse, la página con la nota de secuestro también ofrece un «descifrado de prueba».

Descifrado de prueba de la página del descifrador de Clop

La página de la nota de secuestro también incluye un chat de servicio técnico. Estos chats suelen emplearse para negociar el rescate, los plazos o ampliaciones de los mismos.

Chat de asistencia de la página del descifrador de Clop

Si alguna víctima se niega a pagar o a negociar, los responsables del ransomware empiezan a enviar notificaciones por correo electrónico en masa a sus socios y/o clientes. He aquí un ejemplo de notificación enviada por los responsables del ransomware Clop:

Correo de notificación de Clop

El archivo adjunto list.txt contiene una lista de dominios de Windows y sus recursos compartidos correspondientes de los cuales han extraído datos los responsables del ransomware Clop. Los enlaces del correo de notificación apuntan a la subpágina del sitio de filtraciones de Clop en que se comparten los datos robados.

El sitio web de filtraciones de Clop se llama «CL0P^_- LEAKS». Actualmente cuenta con 13 víctimas. He aquí un ejemplo de vista de datos filtrados:

Sitio de filtraciones de Clop

Lista de sitios de filtraciones

Actualmente, hay 13 operaciones de software diferentes con sitios de filtraciones. La distribución de víctimas entre cada sitio de filtraciones se muestra en el siguiente gráfico:

Distribución de víctimas en sitios de filtraciones de ransomware

Maze

Con 220, el sitio de filtraciones del ransomware Maze es el que con mayor número de víctimas cuenta. Por lo visto, los responsables del ransomware Maze tienen tantas víctimas potenciales que han constituido el denominado «cartel de Maze», con el que ayudan a otras operaciones de ransomware a cambio de una parte de sus beneficios.

Sitio de filtraciones de Maze

Curiosamente, el sitio de filtraciones de Maze está alojado en la web convencional, y no a través de un servicio oculto.

REvil / Sodinokibi

El segundo ransomware más notable con un sitio de filtraciones es REvil. Su sitio, llamado «Happy Blog», contiene datos de 67 víctimas.

Sitio de filtraciones de REvil

Además, en junio de 2020, los responsables del ransomware REvil empezaron a «subastar» los datos sustraídos:

Subasta de REvil

Sin embargo, la página de la subasta no contiene información sobre cómo pujar. Posiblemente no se trate más que de un método con el que obtener relevancia mediática e intimidar a las empresas para que paguen a los atacantes.

DoppelPaymer

Con 59 víctimas, el sitio de filtraciones «Doppel leaks» del ransomware DoppelPaymer está tercero en el ranking.

Sitio de filtraciones de DoppelPaymer

El sitio también es accesible a través de un dominio de la web convencional.

Conti

El sitio de filtraciones del nuevo ransomware Conti, «Conti News», ya cuenta con los datos de 43 víctimas. En base a toda la información disponible, el ransomware Conti parece ser el sucesor del famoso ransomware Ryuk.

Sitio de filtraciones de Conti Sitio de filtraciones de Conti

El sitio también es accesible a través de un dominio de la web convencional.

Después de Maze, Conti es actualmente el ransomware que más rápido incrementa su número de víctimas, ganando en ocasiones hasta 10 nuevas víctimas al día. Aquí es importante recordar que en los sitios de filtraciones solo se publican los datos de víctimas que se nieguen a pagar el rescate.

NetWalker

Los datos de 37 víctimas del ransomware NetWalker se han publicado en su sitio de filtraciones, «NetWalker Blog».

Sitio de filtraciones de NetWalker

Mespinoza / Pysa

El ransomware Mespinoza, también conocido como Pysa, ha titulado su sitio de filtraciones «Pysa’s Partners». Contiene datos de 28 víctimas.

Sitio de filtraciones de Mespinoza

Nephilim

El sitio de filtraciones del ransomware Nephilim, titulado «Corporate Leaks», contiene los datos de 16 víctimas.

Sitio de filtraciones de Nephilim

RagnarLocker

El sitio de filtraciones del ransomware RagnarLocker se llama «RAGNAR LEAKS NEWS». Contiene datos de 14 víctimas.

Sitio de filtraciones de RagnarLocker

SunCrypt

El sitio de filtraciones del ransomware SunCrypt se llama simplemente «News». Sin embargo, ciertos investigadores han sido capaces de ponerse en contacto con los operadores del sitio y han confirmado que está asociado al ransomware SunCrypt. El sitio de filtraciones alberga los datos de 9 víctimas.

Sitio de filtraciones de SunCrypt

Sekhmet

El sitio de filtraciones del ransomware Sekhmet, titulado «Sekhmet Leaks», solo está disponible a través de una dirección de la web convencional. Actualmente contiene datos de 8 víctimas.

Página de filtraciones de Sekhmet

Avaddon

En la primera campaña de Avaddon observada por Hornetsecurity4 no se sustrajeron datos. La campaña distribuía Avaddon a través de la red de bots Phorpiex, y el cifrado de los datos de las víctimas estaba completamente automatizado. Por tanto, la campaña no estaba centrada en víctimas de alto valor para las cuales hubiese valido la pena hacer filtraciones. Sin embargo, desde entonces, Avaddon se ha empleado en diferentes campañas, y su sitio de filtraciones, titulada «Avaddon Info», cuenta actualmente con los datos de 4 víctimas.

Sitio de filtraciones de Avaddon

Darkside

Un sitio de filtraciones muy reciente es «Darkside», del ransomware Darkside. Contiene datos de 2 víctimas.

MedusaLocker / AKO

El ransomware MedusaLocker también tuvo un sitio de filtraciones que llegó a contener datos de 7 víctimas.

Sitio de filtraciones de MedusaLocker

Sin embargo, actualmente el sitio tan solo contiene un mensaje de «próximamente» y no publica contenidos de ninguna víctima. Parece que el sitio se encuentra actualmente en reformas.

Nemty

El ransomware Nemty también solía tener un sitio de filtraciones al que se podía acceder a través de un dominio de la web convencional. Sin embargo, el sitio ya no se encuentra disponible.

ProLock

Hornet ha analizado con anterioridad el ransomware ProLock, que también afirma haber «recopilado […] datos sensibles» y estar dispuesto «a compartirlos si [la víctima] se niega a pagar»5. Sin embargo, por ahora no ha aparecido ningún sitio de filtraciones de ProLock.

Conclusión y soluciones

Los nuevos ataques híbridos con leakware/ransomware hacen las infecciones con malware más peligrosas que nunca para las empresas. Mientras que unas buenas copias de seguridad ayudaban contra los ataques con ransomware clásicos, éstas no ofrecen ninguna protección frente a la revelación de datos privados y/o confidenciales al público. El anuncio general de la filtración de datos a socios y clientes causa perjuicios adicionales y pérdida de reputación a las víctimas, ya que sus socios y clientes, así como sus competidores, obtienen acceso ilimitado a documentos internos, tales como contratos, listas de precios, resultados de investigación y desarrollo, etc.

En general, la única protección posible ante estos ataques híbridos con leakware y ransomware es invertir en una seguridad informática eficaz. En lo que respecta al correo electrónico, Spam and Malware Protection y Advanced Threat Protection de Hornetsecurity protegen frente a ataques híbridos que emplean el correo electrónico como su vector de infección inicial del mismo modo que protegen frente a los ataques con ransomware clásicos: repeliéndolos desde el comienzo mismo de la cadena de ataque, antes de que los atacantes puedan obtener un primer acceso a sus sistemas.

Referencias