Así opera REvil, el ransomware bajo servicio
De acuerdo con Sophos, el 37% de las empresas a nivel mundial se han visto afectadas por ransomware en el último año.
El hackeo a la compañía Electronic Arts, desarrolladora de videojuegos, es un ejemplo de los casos actuales, indicó la firma. Indicó que cibercriminales habrían obtenido datos de la empresa, tales como el código fuente del motor que alimenta a títulos como FIFA, Madden y Battlefield, entre otros.
La amenaza es tal, dice Sophos, que el Departamento de Justicia de Estados Unidos indicó informó que las investigaciones sobre ransomware se llevarían a cabo con protocolos similares a los que se utilizan en casos sobre terrorismo, elevando el nivel de prioridad para ese tipo de acontecimientos.
Ante ese panorama, los ciberdelincuentes están migrando su método de ataque a la utilización de un ransomware ‘bajo servicio’ (ransomware as a service RaaS), que les permite obtener la capacidad de concentrarse en el robo y la implementación del ataque y no en el desarrollo del virus, explicó la firma en ciberseguridad.
Advirtió que uno de los RaaS más frecuentes es Sodinokibi o REvil: un ransomware convencional cuyas rutinas, configuración y comportamiento lo vuelven uno de los más utilizados y efectivos para los criminales. La marca dijo detectar que este ransomware realiza, antes de ingresar a los sistemas vulnerados, una serie de intentos de inicio de sesión en plataformas de acceso remoto o VPNs. Generalmente buscan acceder mediante cuentas legítimas que no requieren del uso de autenticación multifactor, explicó.
Una investigación reciente reveló, que una empresa vulnerada recibió alrededor de 35,000 intentos de sesión fallidos en un periodo de 5 minutos en un protocolo de acceso remoto (RDP), originados en 349 direcciones IP, abundó el desarrollador.
Agregó que REvil se presenta como un archivo ejecutable y encriptado que, cuando se ejecuta por primera vez, enumera una lista de procesos y elimina los archivos temporales y copias de seguridad instalados en la máquina. Luego intenta deshabilitar los servicios de ciberseguridad, como las herramientas de Sophos, aunque se ha detectado que dichos intentos no concluyen con éxito, afirmó.
Una vez incrustado, REvil aparece como un archivo de imagen en formato .bmp codificado, que el ransomware posteriormente establece como la imagen de escritorio en la computadora afectada. La imagen dice: todos sus archivos están encriptados. Posteriormente, indica al usuario el nombre de una ‘Nota de Rescate’ y la carpeta en la que ésta se ubica. Cuando el usuario va a la nota, encuentra las instrucciones y el monto a pagar por el rescate de la información, relató la marca.
Indicó que otra peculiaridad de este ataque es que utiliza la criptomoneda Monero como su método de pago. Esto se debe a que esta divisa digital tiene características de privacidad adicionales que el Bitcoin no tiene, por lo que se vuelve menos probable que las compañías consigan una recuperación del rescate pagado.
Sophos recomienda, ante este tipo de amenazas, procurar la creación constante de copias de seguridad fuera de línea así como fomentar una cultura de actualizaciones e instalación de parches frecuente dentro de la industria, además de medidas básicas como el uso de administradores de contraseñas, autenticación multifactor, y escaneo a la red de la empresa para vigilar la seguridad en puertos RDP, VPN, entre otros usados frecuentemente.
La ciberseguridad es una tarea sin final. Nunca se alcanza un nivel de protección con riesgo ‘cero’ y, por el contrario, las amenazas están en constante evolución y mejoran su nivel de sofisticación, por lo que las medidas de ciberseguridad deben cambiar y anticiparse a nuevos ataques, antes de que sea demasiado tarde, concluyó Sophos.
WhatsApp eSemanal 55 7360 5651
