Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.
Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.
¿Qué es el ransomware Clop?
Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.
Tácticas de imitador
Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.
Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.
Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.
Ataques dirigidos
La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.
Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.
Exfiltración de datos
Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.
Este giro adicional fue introducido por Ransom.Maze, pero también lo utilizan Egregor y Ransom.Clop, como mencionamos anteriormente.
Esconderse dentro de máquinas virtuales
Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.
Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.
Cifrado de discos duros virtuales
También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.
RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.
Frustrar la seguridad y la detección
El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.
Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.
¿Qué sigue?
Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.
Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.
Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .
Para aquellos interesados, los IOC y otros detalles técnicos sobre Clop se pueden encontrar en el perfil de detección de Ransom.Clop .