La desactivaci¨®n de un c¨¦lebre ¡®malware' aspira a reducir el secuestro de datos inform¨¢ticos

Una operaci¨®n global contra los servidores de mando y control de la botnet (red de bots) Trickbot espera tener como consecuencia reducir, al menos temporalmente, uno de los m¨¦todos de ataque de ransomware (secuestro de datos) m¨¢s populares en el ¨²ltimo a?o. Trickbot era usado junto a programas maliciosos como Emotet y Ryuk para alcanzar, inspeccionar y cifrar los servidores de empresas y organizaciones. ¡°Es una de las botnets m¨¢s peligrosas hoy por el n¨²mero de m¨¢quinas infectadas y por la cadena que formaban Emotet, Trickbot y Ryuk¡±, dice Josep Albors, responsable de investigaci¨®n de ESET Espa?a, una de las organizaciones que ha participado en la operaci¨®n, junto a Microsoft, NTT y el centro de investigaci¨®n Black Lotus Labs de Lumen.

En Espa?a, ha habido docenas de ataques de este triunvirato, aunque pocos suelen salir a la luz. El Ayuntamiento de Jerez fue uno de los m¨¢s notables y donde salieron todos los detalles. Pero no fue claramente el ¨²nico. En el ¨²ltimo informe del Centro Criptogr¨¢fico Nacional (CCN), publicado en septiembre de 2020, dan las cifras de 2019: ¡°Durante 2019 se pudo ver una escalada de ataques sofisticados dirigidos a m¨²ltiples sectores, entre los que se encuentra la Administraci¨®n P¨²blica. La mayor¨ªa de los ataques fueron el resultado de la cooperaci¨®n entre varias amenazas, y un ejemplo de ello es la distribuci¨®n masiva de Emotet/Trickbot a trav¨¦s de sucesivas campa?as de distribuci¨®n de correos maliciosos¡±, dice el informe del CCN.

La operaci¨®n no significa, ni mucho, menos el fin de Trickbot, sino un intento de mitigaci¨®n de sus consecuencias, al menos temporal. Este es solo un eslab¨®n de estas operaciones: ¡°Es m¨¢s bien un bal¨®n de ox¨ªgeno para que las empresas puedan prepararse mejor¡±, dice Albors. En ESET valoran distintas posibilidades para el futuro de este ataque: ¡°Desestabiliza a los delincuentes y tardan unos meses en salir o incluso no llegan a salir m¨¢s porque hay gente investigando detr¨¢s. Aunque tambi¨¦n pueden esperar y cambiar su m¨¦todo de ataque. Aunque tambi¨¦n pueden intentar reaccionar y recuperar esos centros de mando porque tengan capacidad y seguir infectando¡±, explica.

A pesar de que la desactivaci¨®n de los centros de mando depende de las fuerzas policiales, en los paneles de ESET, se ve cierto baj¨®n en la actividad de Emotet y Trickbot: ¡°Desde el 2 de octubre, Emotet est¨¢ bajo m¨ªnimos. Trickbot baj¨® en agosto, recuper¨® en septiembre, pero desde finales de septiembre, apenas sale¡±, explica Albors. ¡°Esto podr¨ªa estar vinculado a nuestra operaci¨®n o no, porque a veces hacen temporadas de vacaciones, quiz¨¢ para invertir su dinero o desaparecer del radar cuando temen algo. Por ejemplo, desaparecieron en febrero y hasta julio no volvieron¡±, explica.

La operaci¨®n no atribuye a nadie el uso de estas herramientas. ¡°No es nuestro trabajo¡±, dice Albors. Aunque en su informe adjuntan un mapa donde aparece actividad de Trickbot en la inmensa mayor¨ªa de pa¨ªses del mundo y solo algunos salen indemnes: un pu?ado de pa¨ªses africanos, Mongolia, Ir¨¢n, Irak, Libia o Corea del Norte.

Investigaci¨®n

La investigaci¨®n de Trickbot empez¨® en 2016, cuando se dedicaba sobre todo al robo de credenciales bancarias. Llegaba al ordenador de un usuario a trav¨¦s de un email y esperaba all¨ª hasta que ese usuario quisiera ir a la p¨¢gina de su banco. Entonces, mediante un sistema llamado inyecci¨®n web, colocaba una ventana falsa ante los ojos del usuario: all¨ª y no en su banco real escrib¨ªa su contrase?a, que inmediatamente llegaba a manos de los delincuentes.

La ventaja de Trickbot es su versatilidad. En el informe que acompa?a la investigaci¨®n, hablan de 28 plugins distintos: ¡°Algunos son para recoger contrase?as de navegadores, emails u otras aplicaciones, mientras que otros pueden modificar tr¨¢fico de red o autopropagarse¡±.

En el ¨²ltimo a?o, Trickbot se hab¨ªa hecho especialmente ¨²til como parte del tridente del ransomware: Emotet infectaba una m¨¢quina mediante un correo que llevara adjunto un Word o Excel con macros. La gente cre¨ªa que era una factura o documento importante. La segunda fase se activaba cuando se descargaba Trickbot, que reconoce lateralmente para ver si estaba en una red corporativa, y de qu¨¦ tama?o, o en un ordenador dom¨¦stico. ¡°La siguiente fase es intentar localizar archivos interesantes y robarlos. Entonces llega la ¨²ltima fase: instalar un ransomware, Ryuk normalmente. Cuando llega ese punto los delincuentes ya han entrado, visto lo que hay y robado lo que les interesa¡±, explica Albors.

En los ¨²ltimos meses, al cifrado se le a?ad¨ªa el robo de documentos importantes y la amenaza de su publicaci¨®n. El reglamento europeo de protecci¨®n de datos obliga a pagar aseveras multas si eso ocurre, as¨ª que algunas empresas podr¨ªan plantearse ceder al chantaje antes de ver emerger en la web los archivos de sus clientes, que implicar¨ªa una multa enorme.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.