WastedLocker: una variante compleja de ransomware dirigida a grandes corporaciones
El ransomware es un tipo de software malicioso diseñado para bloquear archivos en una computadora o un sistema hasta que se pague un rescate. Uno de los primeros ransomwares documentados fue el PC Cyborg de 1989: exigía un pago de rescate de $ 189 para descifrar los archivos bloqueados.
La tecnología informática ha avanzado mucho desde 1989 y el ransomware ha evolucionado junto con ella, lo que ha dado lugar a variantes complejas y potentes como WastedLocker. Entonces, ¿cómo funciona WastedLocker? ¿Quién se ha visto afectado por ella? ¿Y cómo puedes proteger tus dispositivos?
¿Qué es WastedLocker y cómo funciona?
Descubierto por primera vez a principios de 2020, WastedLocker es operado por el notorio grupo de hackers Evil Corp , que también se conoce como INDRIK SPIDER o la pandilla Dridex, y muy probablemente tenga vínculos con agencias de inteligencia rusas.
La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos emitió sanciones contra Evil Corp en 2019 y el Departamento de Justicia acusó a su presunto líder Maksim Yakubets, lo que obligó al grupo a cambiar de táctica.
Los ataques de WastedLocker suelen comenzar con SocGholish, un troyano de acceso remoto (RAT) que se hace pasar por las actualizaciones del navegador y de Flash para engañar al objetivo para que descargue archivos maliciosos.
Una vez que el objetivo descarga la actualización falsa, WastedLocker encripta efectivamente todos los archivos en su computadora y los agrega con "desperdiciado", lo que parece ser un guiño a los memes de Internet inspirados en la serie de videojuegos Grand Theft Auto.
Entonces, por ejemplo, un archivo originalmente llamado "muo.docx" aparecería como "muo.docx.wasted" en una máquina comprometida.
Para bloquear archivos, WastedLocker utiliza una combinación de algoritmos de cifrado Advanced Encryption Standard (AES) y Rivest-Shamir-Adleman (RSA), lo que hace que el descifrado sea prácticamente imposible sin la clave privada de Evil Corp.
El algoritmo de encriptación AES es utilizado por instituciones financieras y gobiernos; la Agencia de Seguridad Nacional (NSA), por ejemplo, lo usa para proteger información ultrasecreta.
El algoritmo de cifrado RSA, que lleva el nombre de tres científicos del Instituto de Tecnología de Massachusetts (MIT) que lo describieron públicamente por primera vez en la década de 1970, es considerablemente más lento que AES y se utiliza principalmente para cifrar pequeñas cantidades de datos.
WastedLocker deja una nota de rescate por cada archivo que cifra y le indica a la víctima que se ponga en contacto con los atacantes. El mensaje normalmente contiene una dirección de correo electrónico de Protonmail, Eclipso o Tutanota.
Las notas de rescate generalmente se personalizan, mencionan la organización objetivo por su nombre y advierten contra contactar a las autoridades o compartir los correos electrónicos de contacto con terceros.
Diseñado para dirigirse a grandes empresas, el malware generalmente exige pagos de rescate de hasta $ 10 millones.
Ataques de alto perfil de WastedLocker
En junio de 2020, Symantec descubrió 31 ataques de WastedLocker contra empresas con sede en EE. UU. La gran mayoría de las organizaciones objetivo eran grandes nombres familiares y 11 eran empresas Fortune 500.
El ransomware apuntó a empresas de varios sectores, incluida la fabricación, la tecnología de la información y los medios y las telecomunicaciones.
Evil Corp violó las redes de las empresas objetivo, pero Symantec logró evitar que los piratas informáticos implementaran WastedLocker y mantuvieran datos para obtener un rescate.
El número total real de ataques puede ser mucho mayor porque el ransomware se implementó a través de docenas de sitios de noticias legítimos y populares.
No hace falta decir que las empresas que valen miles de millones de dólares tienen una protección de primer nivel, lo que dice mucho sobre lo peligroso que es WastedLocker.
Ese mismo verano, Evil Corp implementó WastedLocker contra la compañía estadounidense de GPS y rastreadores de ejercicios Garmin, que se estima que tiene un ingreso anual de más de $ 4 mil millones.
Como señaló en ese momento la empresa israelí de ciberseguridad Votiro , el ataque paralizó a Garmin. Interrumpió muchos de los servicios de la compañía e incluso tuvo un efecto en los centros de llamadas y algunas líneas de producción en Asia.
Según los informes, Garmin pagó un rescate de $ 10 millones para recuperar el acceso a sus sistemas. La empresa tardó días en poner en funcionamiento sus servicios, lo que presumiblemente causó pérdidas financieras masivas.
Aunque Garmin aparentemente pensó que pagar el rescate era la mejor y más eficiente forma de abordar la situación, es importante tener en cuenta que nunca se debe confiar en los ciberdelincuentes; a veces, no tienen ningún incentivo para proporcionar una clave de descifrado después de recibir el pago del rescate.
Generalmente, el mejor curso de acción en caso de un ciberataque es contactar inmediatamente a las autoridades.
Además, los gobiernos de todo el mundo imponen sanciones contra los grupos de piratas informáticos y, a veces, estas sanciones también se aplican a las personas que envían o facilitan el pago de un rescate, por lo que también existen riesgos legales a considerar.
¿Qué es Hades Variant Ransomware?
En diciembre de 2020, los investigadores de seguridad detectaron una nueva variante de ransomware denominada Hades (que no debe confundirse con Hades Locker 2016, que generalmente se implementa a través del correo electrónico en forma de archivo adjunto de MS Word).
Un análisis de CrowdStrike encontró que Hades es esencialmente una variante compilada de 64 bits de WastedLocker, pero identificó varias diferencias clave entre estas dos amenazas de malware.
Por ejemplo, a diferencia de WastedLocker, Hades no deja una nota de rescate por cada archivo que cifra, sino que crea una sola nota de rescate. Y almacena la información clave en archivos cifrados, en lugar de almacenarla en la nota de rescate.
La variante Hades no deja información de contacto; en su lugar, dirige a las víctimas a un sitio Tor, que está personalizado para cada objetivo. El sitio Tor permite a la víctima descifrar un archivo de forma gratuita, lo que evidentemente es una forma de que Evil Corp demuestre que sus herramientas de descifrado realmente funcionan.
Hades se ha centrado principalmente en grandes organizaciones con sede en los EE. UU. Con ingresos anuales que superan los mil millones de dólares, y su implementación marcó otro intento creativo de Evil Corp para cambiar la marca y evadir las sanciones.
Cómo protegerse contra WastedLocker
Con los ataques cibernéticos en aumento, invertir en herramientas de protección contra ransomware es una necesidad absoluta. También es imperativo mantener actualizado el software en todos los dispositivos para evitar que los ciberdelincuentes aprovechen las vulnerabilidades conocidas.
Las variantes sofisticadas de ransomware como WastedLocker y Hades tienen la capacidad de moverse lateralmente, lo que significa que pueden obtener acceso a todos los datos en una red, incluido el almacenamiento en la nube. Es por eso que mantener una copia de seguridad fuera de línea es la mejor manera de proteger los datos importantes de los intrusos.
Dado que los empleados son la causa más común de infracciones, las organizaciones deben invertir tiempo y recursos en educar al personal sobre las prácticas básicas de seguridad.
En última instancia, la implementación de un modelo de seguridad Zero Trust es posiblemente la mejor manera de garantizar que una organización esté protegida contra ataques cibernéticos, incluidos los librados por Evil Corp y otros grupos de piratas informáticos patrocinados por el estado.