Así ataca un ciber-delincuente especializado en ransomware

Actúa solo, sin el apoyo de un grupo grande o país. Emplea tácticas bien conocidas, recurriendo en gran medida a herramientas comunes como Mimikatz, PowerShell y Masscan, en lugar de utilizar vulnerabilidades de día cero o métodos más sofisticados. Busca objetivos con fallos de seguridad bien conocidos que puedan explotarse fácilmente. Y, como muchos delincuentes, afirma que sólo persigue ganancias económicas modestas para mantener a su familia.

Este retrato corresponde a un ciber-criminal especializado en el ransomware de la familia LockBit, basado en Rusia y con el nombre ficticio de ‘Aleks’ al que Talos (la división de ciber-inteligencia de Cisco) entrevistó en varias ocasiones entre septiembre y diciembre del pasado año. Conocer su historia y la manera en que piensa puede, sin duda, ayudar a empresas y organizaciones a saber cómo actuar frente a este tipo de ciberataques que, se espera, aumenten en los próximos meses como consecuencia del teletrabajo.

Aleks -cuya actividad verificó Talos a partir de revelaciones y comprobaciones reales- accedió a compartir información sobre su motivación, sus tácticas y diversos detalles sobre ciber-ataques y grupos especializados en ramsomware.

La mayor facilidad de pago por parte de las compañías europeas víctimas de ramsomware (“En Europa se  paga porque las compañías temen las multas del RGDP si se filtran sus datos”, desveló Aleks), la gran vulnerabilidad de hospitales y escuelas o las comisiones exigidas por grupos de ramsoware por usar sus herramientas e información sobre objetivos (LockBit pide a sus usuarios una menor comisión que Maze) son algunos ejemplos de la información obtenida con esas entrevistas.

Como hemos repetido en diversas ocasiones, conocer cómo piensa el enemigo puede darte muchas pistas de cómo defenderte de sus ataques. Y es por eso que nos parece de vital importancia este informe realizado por Cisco Talos en el que se sugiere cómo las organizaciones y sus defensores deberían actuar en base a lo compartido por este ciberdelincuente:

• Los ciber-delincuentes siguen viendo los sistemas sin parchear como el método más sencillo -y muchas veces preferido- de intrusión. La aplicación rutinaria de parches puede resultar compleja, especialmente para las grandes compañías, y los ‘malos’ lo saben. Las vulnerabilidades más aprovechadas son las más conocidas, con código de explotación disponible públicamente.
• Muchos ciber-criminales utilizan casi exclusivamente herramientas comunes de código fuente abierto que están disponibles en Internet y son sencillas de utilizar. No pretenden ‘reinventar la rueda’; reutilizar herramientas es una forma rápida y eficaz de llevar a cabo sus operaciones.
• Los ciber-delincuentes son ávidos consumidores de noticias sobre seguridad, y están al día de las últimas investigaciones y vulnerabilidades, aprovechando esa información para futuros ataques. Las organizaciones deberían animar a sus equipos de Seguridad a familiarizarse con las últimas informaciones sobre código fuente abierto, realizar sus propias investigaciones y seguir de cerca las tendencias del panorama de ciber-amenazas.
• Instituciones educativas, proveedores de atención sanitaria y entidades que colaboran en la respuesta frente a COVID-19 siguen siendo objetivos prioritarios del ransomware -a pesar de las afirmaciones contrarias por parte de los atacantes- debido principalmente a la falta de personal defensor especializado, limitación de presupuesto y menor oportunidad de actualización al disponer de menos tiempo de inactividad.

La entrada Así ataca un ciber-delincuente especializado en ransomware aparece primero en Globb Security.