Actúa solo, sin el apoyo de un grupo grande o país. Emplea tácticas bien conocidas, recurriendo en gran medida a herramientas comunes como Mimikatz, PowerShell y Masscan, en lugar de utilizar vulnerabilidades de día cero o métodos más sofisticados. Busca objetivos con fallos de seguridad bien conocidos que puedan explotarse fácilmente. Y, como muchos delincuentes, afirma que sólo persigue ganancias económicas modestas para mantener a su familia.
Este retrato corresponde a un cibercriminal especializado en el ransomware de la familia LockBit, basado en Rusia y con el nombre ficticio de ‘Aleks’. Fue entrevistado por Talos (la división de ciberinteligencia de Cisco) en diversas ocasiones entre septiembre y diciembre del pasado año. Aleks -cuya actividad verificó Talos a partir de revelaciones y comprobaciones reales- accedió a compartir información sobre su motivación, sus tácticas y diversos detalles sobre ciber-ataques y grupos especializados en ramsomware.
La mayor facilidad de pago por parte de las compañías europeas víctimas de ramsomware (“En Europa se paga porque las compañías temen las multas del RGDP si se filtran sus datos”, desveló Aleks), la gran vulnerabilidad de hospitales y escuelas o las comisiones exigidas por grupos de ramsoware por usar sus herramientas e información sobre objetivos (LockBit pide a sus usuarios una menor comisión que Maze) son algunos ejemplos de la información obtenida con esas entrevistas.
Conclusiones y recomendaciones
Cisco Talos sugiere que las organizaciones y sus defensores deberían tener en cuenta estas conclusiones y recomendaciones clave:
- Los ciberdelincuentes siguen viendo los sistemas sin parchear como el método más sencillo -y muchas veces preferido- de intrusión. La aplicación rutinaria de parches puede resultar compleja, especialmente para las grandes compañías, y los ‘malos’ lo saben. Las vulnerabilidades más aprovechadas son las más conocidas, con código de explotación disponible públicamente.
- Muchos cibercriminales utilizan casi exclusivamente herramientas comunes de código fuente abierto que están disponibles en Internet y son sencillas de utilizar. No pretenden ‘reinventar la rueda’; reutilizar herramientas es una forma rápida y eficaz de llevar a cabo sus operaciones.
- Los ciberdelincuentes son ávidos consumidores de noticias sobre seguridad, y están al día de las últimas investigaciones y vulnerabilidades, aprovechando esa información para futuros ataques. Las organizaciones deberían animar a sus equipos de Seguridad a familiarizarse con las últimas informaciones sobre código fuente abierto, realizar sus propias investigaciones y seguir de cerca las tendencias del panorama de ciber-amenazas.
- Instituciones educativas, proveedores de atención sanitaria y entidades que colaboran en la respuesta frente a COVID-19 siguen siendo objetivos prioritarios del ransomware -a pesar de las afirmaciones contrarias por parte de los atacantes- debido principalmente a la falta de personal defensor especializado, limitación de presupuesto y menor oportunidad de actualización al disponer de menos tiempo de inactividad.
Basándose en las conversaciones con Aleks y en otras investigaciones, Cisco Talos considera que el ransomware y sus operaciones seguirán extendiéndose, ya que basta con tener ciertos conocimientos técnicos para cometer este ciber-delito. El grupo LockBit intentará sacar provecho de la reciente y supuesta retirada de Maze. Y la proliferación del trabajo remoto y de la educación a distancia facilitarán sus operaciones al ampliar potencialmente la superficie de ataque.
