Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

Ransomware de doble extorsión

Brianna Leddy, Director of Analysis | miércoles 19 de mayo de 2021

Hace un año y medio, el ransomware de “doble extorsión” estaba siendo utilizado por un solo ciberdelincuente conocido. Actualmente, más de 16 grupos de ransomware utilizan activamente esta táctica. Entonces, ¿qué es y por qué se ha vuelto tan popular?

¿Qué es el ransomware de doble extorsión?

La historia tradicional del ransomware era la de un código malicioso que cifraba rápidamente archivos con encriptación RSA de clave pública y luego los borraba si la víctima no pagaba el rescate.

Sin embargo, después del infame ransomware WannaCry y NotPetya durante 2017, las empresas intensificaron su ciberdefensa. Se puso más énfasis en las copias de seguridad y los procesos de restauración, para que incluso si los archivos fuesen destruidos, las organizaciones tuvieran copias en su lugar y pudieran restaurar fácilmente sus datos.

Sin embargo, a su vez, los ciberdelincuentes también han adaptado sus técnicas. Ahora, en lugar de simplemente encriptar archivos, el ransomware de doble extorsión extrae primero los datos. Esto significa que si la empresa se niega a pagar, la información puede filtrarse en línea o venderse al mejor postor. De repente, todas esas copias de seguridad y planes de recuperación de datos se volvieron obsoletos.

Maze ransomware y amigos

A finales de 2019, Maze ransomware surgió como el primer caso de alto perfil de doble extorsión. Pronto siguieron otras cepas, con el ataque Sodinokibi, que paralizó a la empresa de cambio de divisas Travelex, en el último día de ese año.

A mediados de 2020, cientos de organizaciones fueron víctimas de ataques de doble extorsión, varios sitios web en la dark net filtraban datos de la empresa y el negocio de Ransomware-as-a-Service estaba en auge a medida que los desarrolladores vendían y alquilaban nuevos tipos de malware.

Además, las regulaciones de ciberseguridad comenzaron a ser armadas por ciberdelincuentes que podían aprovechar la amenaza de tener que pagar una fuerte multa de cumplimiento (regulaciones CCPA, RGPD, NYSDFS) para alentar a sus víctimas a guardar silencio ofreciéndoles un rescate menor que la multa.

Hubo 1.200 incidentes de ransomware de doble extorsión en 2020 en 63 países, con más del 60% de estos incidentes dirigidos a los EE. UU. y el Reino Unido.

A pesar de que se redactan regularmente nuevas leyes para tratar de mitigar estos ataques, no se están ralentizando. De acuerdo a un estudio reciente realizado por RUSI, hubo 1.200 incidentes de ransomware de doble extorsión solo en 2020 en 63 países diferentes. El 60% de estos estaban dirigidos a organizaciones con sede en los EE. UU., y el Reino Unido sufrió el segundo mayor número de infracciones.

El mes pasado, la banda de ciberdelincuentes conocida como REvil publicó detalles sobre la nueva Macbook Pro de Apple en su sitio “Happy Blog”, amenazando con publicar más planos y exigiendo un rescate de $50 millones. Y la semana pasada, Colonial Pipeline supuestamente pagó $5 millones en bitcoin para recuperarse de un devastador ataque de ransomware de OT.

Anatomía de un ataque de ransomware de doble extorsión

Darktrace ha detectado un gran aumento en las amenazas de ransomware de doble extorsión en el último año, más recientemente en una empresa de energía con sede en Canadá. Los hackers claramente habían hecho su tarea, adaptando el ataque a la empresa y moviéndose rápida y clandestinamente una vez dentro. A continuación se muestra una cronología de este incidente del mundo real, que se llevó a cabo principalmente en el espacio de 24 horas.

Figura 1: cronología del ataque

Darktrace detectó cada etapa de la intrusión y notificó al equipo de seguridad con alertas de alta prioridad. Si Darktrace Antigena hubiese estado activo en el entorno, el servidor atacado habría sido aislado tan pronto como comenzara a comportarse de manera anómala, evitando que la infección se propagara.

Cifrado y exfiltración

Se desconoce el vector de infección inicial, pero la cuenta de administrador se vio atacada muy probablemente por un enlace de phishing o una implementación de vulnerabilidad. Esto es indicativo de una tendencia a alejarse de las campañas generalizadas de ransomware “spray and pray” de la última década hacia un enfoque más específico.

Cyber AI identificó un servidor interno que participaba en un escaneo de red inusual y un intento de movimiento lateral utilizando el Protocolo de escritorio remoto (RDP). Las credenciales de administrador comprometidas se utilizaron para propagarse rápidamente desde el servidor a otro dispositivo interno, “serverps”.

El dispositivo “serverps” inició una conexión saliente a TeamViewer, un servicio de almacenamiento de archivos legítimo, que estuvo activo durante casi 21 horas. Esta conexión se utilizó para el control remoto del dispositivo y para facilitar las etapas posteriores del ataque. Aunque TeamViewer no operaba por completo en el entorno digital de la empresa, ninguna de las defensas heredadas lo bloqueó.

Luego, el dispositivo se conecta a un servidor de archivos interno y descargó 1,95 TB de datos y subió el mismo volumen de datos a pcloud [.]com. Esta exfiltración tuvo lugar durante las horas de trabajo para combinarse con la actividad administrativa habitual.

También se vio que el dispositivo descargaba el software Rclone, una herramienta de código abierto, que probablemente se aplicó para sincronizar datos automáticamente con el servicio de almacenamiento de archivos legítimo pCloud.

La credencial de administrador atacada permitió que el ciberdelincuente se moviera lateralmente durante este tiempo. Una vez completada la exfiltración de datos, el dispositivo “serverps” finalmente comenzó a cifrar archivos en 12 dispositivos con la extensión *.06d79000.

Como ocurre con la mayoría de los incidentes de ransomware, el cifrado ocurrió fuera del horario de oficina (durante la noche en hora local) para minimizar la posibilidad de que el equipo de seguridad responda rápidamente.

Investigación impulsada por IA

Cyber AI Analyst informó sobre cuatro incidentes relacionados con el ataque, destacando el comportamiento sospechoso al equipo de seguridad y proporcionando un informe sobre los dispositivos afectados para su reparación inmediata. Estos informes concisos permitieron al equipo de seguridad identificar rápidamente el alcance de la infección y responder en consecuencia.

Figura 2: bandeja de incidentes de Cyber AI Analyst durante una semana

Cyber ​​AI Analyst investiga on-demand

Tras un análisis más detallado, el día 13 de marzo, el equipo de seguridad contrató a Cyber AI Analyst para realizar investigaciones a demanda sobre la credencial de administrador comprometida en Microsoft 365, así como sobre otro dispositivo que se identificó como una amenaza potencial.

Cyber AI Analyst creó un incidente para este otro dispositivo, que resultó en la identificación de un escaneo de puertos inusual durante el período de tiempo de la infección. El dispositivo se eliminó rápidamente de la red.

Figura 3: incidente de Cyber AI Analyst para un dispositivo atacado, que detalla una descarga interna inusual

Doble problema

El uso de herramientas legítimas y técnicas de “Living off the Land” (utilizando RDP y una credencial de administrador comprometida) permitió a los ciberdelincuentes llevar a cabo la mayor parte del ataque en menos de 24 horas. Al implementar TeamViewer como una solución de almacenamiento de archivos legítima para la exfiltración de datos, en lugar de depender de un dominio conocido como "malo" o registrado recientemente, los hackers eludieron fácilmente todas las defensas existentes basadas en firmas.

Si Darktrace no hubiera detectado esta intrusión y hubiera alertado de inmediato al equipo de seguridad, el ataque podría haber resultado no solo en una “negación del negocio” con empleados bloqueados en sus archivos, sino también en la pérdida de datos confidenciales. La IA fue un paso más allá para ahorrarle al equipo un tiempo vital con la investigación automática y los informes a demanda.

Hay mucho más que perder con el ransomware de doble extorsión. La exfiltración proporciona otra capa de riesgo, lo que lleva a comprometer la propiedad intelectual, dañar la reputación y multas por incumplimiento. Una vez que un grupo de amenazas tiene los datos, es posible además que solicite más pagos en el futuro. Por lo tanto, es importante defenderse de estos ataques antes de que sucedan, implementando de manera proactiva medidas de ciberseguridad que puedan detectar y responder de manera autónoma a las amenazas tan pronto como surjan.

Obtenga más información sobre el ransomware de doble extorsión

IoCs:

IoCComentario
api[.]pcloud[.]comAlmacenamiento en la nube para exfiltración
downloads[.]rclone[.]orgSoftware RClone descargado para apoyar la exfiltración
162.250.6[.]138 (AS42473 ANEXIA Internetdienstleistungs GmbH)IP de TeamViewer utilizada para acceso remoto

Detecciones del modelo de Darktrace:

  • Device / Suspicious Network Scan Activity
  • Device / RDP Scan
  • Device / Network Scan
  • Anomalous Connection / Unusual Admin SMB Session
  • Anomalous Connection / Unusual Admin RDP Session
  • Device / Multiple Lateral Movement Model Breaches
  • User / New Admin Credentials on Client
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Anomalous Connection / Low and Slow Exfiltration
  • Device / Anomalous SMB Followed By Multiple Model
  • Anomalous Connection / Download and Upload
  • Anomalous Connection / Suspicious Activity On High Risk Device
  • Anomalous File / Internal::Additional Extension Appended to SMB File
  • Compromise / Ransomware::Suspicious SMB Activity
  • Anomalous Connection / Sustained MIME Type Conversion
  • Device / Anomalous RDP Followed By Multiple Model Breaches
  • Anomalous Connection / Suspicious Read Write Ratio
  • Device / Large Number of Model Breaches

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.