WastedLocker: una variante compleja de ransomware dirigida a grandes corporaciones

El ransomware es un tipo de software malicioso diseñado para bloquear archivos en una computadora o un sistema hasta que se pague un rescate. Uno de los primeros ransomwares que se documentó fue el PC Cyborg de 1989, que exigía un exiguo pago de rescate de 189 dólares para descifrar los archivos bloqueados.

La tecnología informática ha recorrido un largo camino desde 1989, y el ransomware ha evolucionado junto con ella, dando lugar a variantes complejas y potentes como WastedLocker. Entonces, ¿cómo funciona WastedLocker? ¿Quién se ha visto afectado por ella? ¿Y cómo puedes proteger tus dispositivos?

¿Qué es WastedLocker y cómo funciona?

Descubierto por primera vez a principios de 2020, WastedLocker es operado por el notorio grupo de hackers Evil Corp, que también se conoce como INDRIK SPIDER o la pandilla Dridex, y muy probablemente tenga vínculos con agencias de inteligencia rusas.

La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos emitió sanciones contra Evil Corp en 2019 y el Departamento de Justicia acusó a su presunto líder Maksim Yakubets, lo que ha obligado al grupo a cambiar de táctica.

Los ataques de WastedLocker suelen comenzar con SocGholish, un troyano de acceso remoto (RAT) que se hace pasar por las actualizaciones del navegador y de Flash para engañar al objetivo para que descargue archivos maliciosos.

RELACIONADO: ¿Qué es un troyano de acceso remoto?

Una vez que el objetivo descarga la actualización falsa, WastedLocker encripta de manera efectiva todos los archivos en su computadora y los agrega con "desperdiciado", que parece ser un guiño a los memes de Internet inspirados en el videojuego Grand Theft Auto serie.

Entonces, por ejemplo, un archivo originalmente llamado "muo.docx" aparecería como "muo.docx.wasted" en una máquina comprometida.

Para bloquear archivos, WastedLocker utiliza una combinación de Advanced Encryption Standard (AES) y Algoritmos de cifrado Rivest-Shamir-Adleman (RSA), que hacen que el descifrado sea prácticamente imposible sin Evil Clave privada de Corp.

El algoritmo de encriptación AES es utilizado por instituciones financieras y gobiernos; la Agencia de Seguridad Nacional (NSA), por ejemplo, lo usa para proteger información ultrasecreta.

El nombre de tres científicos del Instituto de Tecnología de Massachusetts (MIT) que lo describieron públicamente por primera vez en el 1970, el algoritmo de cifrado RSA es considerablemente más lento que AES y se utiliza principalmente para cifrar pequeñas cantidades de datos.

WastedLocker deja una nota de rescate por cada archivo que cifra y le indica a la víctima que se ponga en contacto con los atacantes. El mensaje normalmente contiene una dirección de correo electrónico de Protonmail, Eclipso o Tutanota.

Las notas de rescate generalmente se personalizan, mencionan la organización objetivo por su nombre y advierten contra contactar a las autoridades o compartir los correos electrónicos de contacto con terceros.

Diseñado para dirigirse a grandes empresas, el malware generalmente exige pagos de rescate de hasta $ 10 millones.

Ataques de alto perfil de WastedLocker

En junio de 2020, Symantec descubrió 31 ataques de WastedLocker contra empresas con sede en EE. UU. La gran mayoría de las organizaciones objetivo eran grandes nombres familiares y 11 eran empresas Fortune 500.

El ransomware apuntó a empresas de varios sectores, incluida la fabricación, la tecnología de la información y los medios y las telecomunicaciones.

Evil Corp violó las redes de las empresas objetivo, pero Symantec logró evitar que los piratas informáticos implementaran WastedLocker y mantuvieran datos para obtener un rescate.

El número total real de ataques puede ser mucho mayor porque el ransomware se implementó a través de docenas de sitios de noticias legítimos y populares.

No hace falta decir que las empresas que valen miles de millones de dólares tienen una protección de primer nivel, lo que dice mucho sobre lo peligroso que es WastedLocker.

Ese mismo verano, Evil Corp implementó WastedLocker contra la compañía estadounidense de GPS y rastreadores de ejercicios Garmin, que se estima que tiene un ingreso anual de más de $ 4 mil millones.

Como empresa israelí de ciberseguridad Votiro señaló en ese momento, el ataque paralizó a Garmin. Interrumpió muchos de los servicios de la compañía e incluso tuvo un efecto en los centros de llamadas y algunas líneas de producción en Asia.

Según los informes, Garmin pagó un rescate de $ 10 millones para recuperar el acceso a sus sistemas. La empresa tardó días en poner en funcionamiento sus servicios, lo que presumiblemente causó pérdidas financieras masivas.

Aunque Garmin aparentemente pensó que pagar el rescate era la mejor y más eficiente forma de abordar la situación, es importante tener en cuenta que nunca se debe confiar en los ciberdelincuentes; a veces, no tienen ningún incentivo para proporcionar una clave de descifrado después de recibir el rescate pago.

Generalmente, el mejor curso de acción en caso de un ciberataque es contactar inmediatamente a las autoridades.

Además, los gobiernos de todo el mundo imponen sanciones contra los grupos de piratas informáticos y, a veces, estas sanciones también se aplican a las personas que envían o facilitan el pago de un rescate, por lo que también existen riesgos legales para considerar.

¿Qué es Hades Variant Ransomware?

En diciembre de 2020, los investigadores de seguridad detectaron una nueva variante de ransomware denominada Hades (que no debe ser confundido con Hades Locker 2016, que generalmente se implementa a través del correo electrónico en forma de MS Word adjunto).

Un análisis de CrowdStrike descubrió que Hades es esencialmente una variante compilada de 64 bits de WastedLocker, pero identificó varias diferencias clave entre estas dos amenazas de malware.

Por ejemplo, a diferencia de WastedLocker, Hades no deja una nota de rescate por cada archivo que cifra, sino que crea una sola nota de rescate. Y almacena la información clave en archivos cifrados, en lugar de almacenarla en la nota de rescate.

La variante Hades no deja información de contacto; en su lugar, dirige a las víctimas a un sitio Tor, que está personalizado para cada objetivo. El sitio Tor permite a la víctima descifrar un archivo de forma gratuita, lo que evidentemente es una forma de que Evil Corp demuestre que sus herramientas de descifrado realmente funcionan.

Hades se ha dirigido principalmente a grandes organizaciones con sede en los EE. UU. Con ingresos anuales superiores a $ 1 mil millones, y su despliegue marcó otro intento creativo de Evil Corp para cambiar la marca y evadir sanciones.

Cómo protegerse contra WastedLocker

Con los ciberataques en aumento, invertir en herramientas de protección contra ransomware es una necesidad absoluta. También es imperativo mantener actualizado el software en todos los dispositivos para evitar que los ciberdelincuentes aprovechen las vulnerabilidades conocidas.

Las variantes sofisticadas de ransomware como WastedLocker y Hades tienen la capacidad de moverse lateralmente, lo que significa que pueden obtener acceso a todos los datos en una red, incluido el almacenamiento en la nube. Es por eso que mantener una copia de seguridad fuera de línea es la mejor manera de proteger los datos importantes de los intrusos.

Dado que los empleados son la causa más común de infracciones, las organizaciones deben invertir tiempo y recursos en educar al personal sobre las prácticas básicas de seguridad.

En última instancia, la implementación de un modelo de seguridad Zero Trust es posiblemente la mejor manera de garantizar que una organización está protegido contra ataques cibernéticos, incluidos los emprendidos por Evil Corp y otros piratas informáticos patrocinados por el estado grupos.

¿Qué es una red de confianza cero y cómo protege sus datos?

¿Quiere mantener su empresa a salvo de los ciberdelincuentes? Las VPN son excelentes, pero es posible que no sean tan efectivas como las ZTN con perímetros definidos por software.

Leer siguiente

Sobre el Autor