Juego de tronos en el cibercrimen: cuatro grupos emergentes que preocupan a los expertos

A finales de julio la banda de cibercriminales REvil, a la que IBM atribu¨ªa un 23% de los ataques de secuestro inform¨¢tico ¨Dransomware¨D mundiales en 2020 se desvaneci¨® de la red. De un d¨ªa para otro borr¨® su presencia del internet oscuro, cuyas profundidades escapan del alcance de los navegadores tradicionales. Un mes antes, los piratas de DarkSide, que pusieron en jaque los oleoductos y el suministro de combustible del sureste de Estados Unidos, hab¨ªan anunciado en sus propios canales de este medio que cerraban sus operaciones. En su comunicado, adujeron que hab¨ªan perdido acceso a su infraestructura a causa de una actuaci¨®n policial.

La verdadera motivaci¨®n de ambos colectivos para adoptar este perfil bajo fue objeto de debate. Y tampoco ha sido posible certificar su muerte. Por los mentideros del internet oscuro corren rumores de que sus integrantes podr¨ªan haberse reestructurado en un nuevo colectivo bautizado como BlackMatter. ¡°La ¨²nica manera de saber si siguen activos es dejar correr el tiempo e ir viendo lo que ocurre porque estos grupos tienen unos patrones de actuaci¨®n muy marcados¡±, explica Daniel Mart¨ªnez Ortiz, profesor del m¨¢ster de Seguridad Inform¨¢tica de la Universidad Internacional de La Rioja y responsable de ciberseguridad de Sodexo para Espa?a y Portugal.

Por lo pronto, no sabemos con seguridad si las cabezas de la hidra est¨¢n cortadas, disfrazadas o echando una discreta siesta mientras se reduce la presi¨®n de las fuerzas de seguridad, pero ya hay otras intentando ocupar el espacio que han dejado. Un informe de la firma de seguridad Palo Alto Networks se?ala a los grupos de nueva creaci¨®n, AvosLocker y Hive, y a los m¨¢s antiguos, HelloKitty y LockBit 2.0, como amenazas emergentes con potencial para causar estragos dignos de sus antecesores. ¡°Son grupos muy recientes que se aprovechan de la eclosi¨®n de este tipo de ataques, pero no est¨¢n compitiendo. Se dedican a su nicho y no miran hacia los lados¡±, matiza Mart¨ªnez, que prescribe id¨¦nticas precauciones ante todos ellos. ¡°No hay que temer ni a unos ni a otros. Tiene que preocuparnos si estamos o no preparados para este tipo de ataques¡±.

El escarabajo azul

AvosLocker entr¨® en escena a principios de julio. La banda completa su imagen corporativa con un escarabajo azul presente en sus comunicaciones oficiales y en las p¨¢ginas desde las que gestiona las relaciones con las v¨ªctimas de sus ofensivas. En sus operaciones sigue el mismo patr¨®n que Darkside o REvil: en el marco del modelo conocido como Ransomware as a Service ¨Csecuestro inform¨¢tico como servicio¨C o RaaS, vende su programa malicioso a afiliados interesados en lanzar sus propios ataques. Y, de acuerdo con el anuncio que colgaron en la plataforma Dread ¨Cuna suerte de Reddit del internet oscuro¨C, les acompa?an en el proceso. ¡°Despu¨¦s de que infectes al objetivo, nos encargamos de la negociaci¨®n, de alojar las filtraciones, publicarlas en nuestro blog y dem¨¢s¡±, ofrec¨ªan, antes de especificar que todos los pagos deben hacerse a trav¨¦s de la criptodivisa Monero, preferida por los cibercriminales por sus garant¨ªas de privacidad y anonimato.

La nota de rescate que acompa?a los secuestros inform¨¢ticos perpetrados por este grupo facilita un c¨®digo de identificaci¨®n a las v¨ªctimas y las remite a un portal donde deben autenticarse para iniciar la negociaci¨®n. Llegado este punto, la p¨¢gina muestra una cuenta atr¨¢s para el incremento de la suma del rescate. ¡°Ellos quieren el dinero cuanto antes. Y lo que hacen es jugar con el miedo de las personas¡±, comenta Mart¨ªnez. La banda ofrece adem¨¢s un chat de atenci¨®n al cliente y se lava las manos de lo ocurrido: ¡°AvosLocker no est¨¢ implicada en ning¨²n ataque y act¨²a como un mero ¨¢rbitro. Nuestro inter¨¦s es que ambas partes est¨¦n satisfechas con nuestro servicio¡±. ?Se lo creen? ¡°Es pura fachada¡±, sentencia el experto.

La colmena

La identidad corporativa de Hive ¨Ccolmena en ingl¨¦s¨C se construye con hex¨¢gonos como los que tendr¨ªa un panal de abejas. De acuerdo con Palo Alto Networks, estos cibercriminales comenzaron a operar en junio de 2021 y desde entonces han lanzado 28 ataques a distintas organizaciones, entre ellas, proveedores de servicios sanitarios y a organizaciones de tama?o medio ¡°poco equipadas para gestionar un ataque de ransomware¡±. Tambi¨¦n ofrecen un servicio de chat donde los afectados pueden comunicarse con sus atacantes.

Cuando Hive es el art¨ªfice del secuestro inform¨¢tico, la nota de rescate incluye adem¨¢s una suerte de mandamientos que las v¨ªctimas deben cumplir para ¡°evitar perder sus datos¡±. En primer lugar se les recomienda no apagar o reiniciar los equipos ni retirar soportes de almacenamiento externo y no recurrir a software de terceros para levantar el cifrado y recuperar el acceso a los archivos. ¡°Es absolutamente todo lo contrario¡±, zanja Mart¨ªnez. ¡°La primera acci¨®n que tienes que llevar a cabo cuando tienes alg¨²n tipo de ransomware es desconectar la red y posteriormente los equipos¡±.

Las mentiras disfrazadas de consejos contin¨²an: ¡°No te enga?es. El cifrado tiene secreto perfecto y es imposible descifrarlo sin conocer la clave¡±. Para Mart¨ªnez, la realidad no es tan sencilla. ¡°En estos casos se hace an¨¢lisis forense de los virus que infectan los ordenadores para obtener la clave. El Incibe trabaja mucho de esta manera¡±, explica. En este contexto, la recuperaci¨®n del acceso no est¨¢ garantizada, pero es una posibilidad. El inconveniente es que en ocasiones lleva m¨¢s tiempo del que puede permitirse la v¨ªctima.

Las ¨²ltimas sugerencias son m¨¢s bien amenazas. Se conmina a las v¨ªctimas a no contactar con las autoridades, bajo el pretexto de que si lo hacen, se detendr¨¢ la negociaci¨®n y se borrar¨¢n las claves. ¡°No rechaces pagar. Tus datos sensibles se difundir¨¢n p¨²blicamente¡±, concluyen. La filtraci¨®n de los datos es una posibilidad, pero el experto aconseja pedir ayuda.

Bandas veteranas

HelloKitty no naci¨® ayer. Esta familia de ransomware empez¨® a circular entre equipos de Windows a finales de 2020 y el pasado julio se constat¨® su presencia tambi¨¦n en Linux. Seg¨²n Palo Alto Networks, no est¨¢ tan claro que los ataques que emplean este tipo de programa inform¨¢tico malicioso puedan atribuirse a un ¨²nico grupo, ya que var¨ªan los medios que emplean para comunicarse con las v¨ªctimas. La firma de seguridad recoge una captura de un chat: ¡°Hola, si has venido a cerrar un trato, discutamos. Si has venido a hacernos perder el tiempo, no deber¨ªas hacerlo. Responderemos a tus preguntas despu¨¦s del pago¡±, comienzan.

HelloKitty volvi¨® a los titulares despu¨¦s de un periodo de baja actividad en febrero de este a?o, tras el ataque a la desarrolladora de videojuegos polaca CD Projekt Red, responsable de la saga de videojuegos de The Witcher. Los atacantes robaron el c¨®digo fuente de los videojuegos Cyberpunk 2077 y The Witcher 3: WildHunt con la intenci¨®n de subastarlo por un precio de partida de un mill¨®n de d¨®lares y con pujas que se iban incrementando de 500.000 en 500.000 d¨®lares.

LockBit 2.0 es la abuela de todas las anteriores. Esta banda que tambi¨¦n est¨¢ en el negocio del RaaS comenz¨® su actividad en septiembre de 2019. En aquel entonces era simplemente LockBit y ven¨ªa de la disoluci¨®n de un consorcio con otro grupo de cibercriminales desaparecido, Maze. El pasado mes de junio, despu¨¦s de un lavado de cara que afect¨® tanto al funcionamiento del virus, que, presumen, es el m¨¢s r¨¢pido de cuantos est¨¢n operativos, como a la identidad gr¨¢fica del colectivo. Seg¨²n las cuentas de Palo Alto Networks, han atacado m¨¢s de 50 organizaciones de diferentes sectores desde junio, entre ellas recientemente Accenture, aunque la compa?¨ªa asegur¨® que no hab¨ªa habido impacto en sus operaciones ni en el sistema de sus clientes.

Cuando completa la infecci¨®n, LockBit 2.0 cambia el fondo de pantalla de sus v¨ªctimas por un cartel donde anuncia lo ocurrido y aprovecha para anunciar su b¨²squeda de colaboradores. ¡°?Te gustar¨ªa ganar millones de d¨®lares? Nuestra empresa compra acceso a las redes de varias compa?¨ªas as¨ª como informaci¨®n privilegiada que puede ayudarte a robar los datos m¨¢s valiosos de cada empresa¡±, aseguran.

Pese a los avances de estos cuatro aspirantes, Mart¨ªnez insiste en que lo importante es estar preparado y concentra sus temores en que los rumores que corren sobre BlackMatter sean ciertos. ¡°Imag¨ªnate que se junta la ¨¦lite de cada uno de ellos, que ya por separado eran muy potentes¡±, comenta. Por lo pronto, solo queda esperar. Y actualizar nuestros equipos.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.