La unidad de investigación de SILIKN ha emitido una alerta en la cual señala que el grupo cibercriminal de ransomware Conti está modificando sus estrategias y herramientas, por lo que cambiará de malware para evadir las defensas de las organizaciones y buscar obtener más ingresos. Por lo anterior existen elementos que indican que Conti reemplazará el malware bancario conocido como TrickBot con un malware más sigiloso y letal conocido como BazarBackdoor.
Originalmente asociado al ransomware Ryuk, TrickBot es un troyano bancario dirigido a los sistemas Windows que existe desde octubre de 2016. Su código ha sido actualizado desde entonces de forma continua a través de la integración de nuevas funciones, como la de robo de contraseñas.
Se estima que TrickBot le ha generado al grupo cibercriminal Conti al menos $200 millones de dólares — con la extorsión de un solo caso — y, en promedio $30 millones de dólares extorsionando a diferentes víctimas del sector de Cuidado de la Salud y Hospitalario.
Cabe señalar que hasta 2021, Conti usó en exclusiva el TrickBot para lograr accesos iniciales en las redes de diferentes organizaciones a nivel mundial. Además, le ha permitido agregar asociados a su red de afiliados y crear una sólida estructura cibercriminal con base en el ransomware como servicio (RaaS).
No obstante, debido a que la red de afiliados de Conti creció y TrickBot fue altamente utilizado, las ciberdefensas de las organizaciones y sus soluciones de antimalware comenzaron a detectarlo cada vez con mayor facilidad, por lo que Conti ha tomado la decisión de reemplazarlo con un malware más silencioso: BazarBackdoor, el cual también se utiliza para lograr acceso remoto a las redes corporativas e implementar el ransomware.
El ransomware se ha convertido en la amenaza informática qué más preocupación genera a nivel global, tanto a empresas de todas las industrias como a organismos públicos. El dinero generado por las bandas criminales sigue al alza, así como los montos exigidos por los rescates, lo que demuestra que continúa siendo un negocio rentable y atractivo para los cibercriminales.
En general los vectores para obtener acceso inicial más utilizados en 2022 siguen siendo los mismos que en 2020 y 2021, es decir, ataques de phishing, explotación de vulnerabilidades o ataques al protocolo de escritorio remoto (RDP). En América Latina, por ejemplo, las detecciones de ataques de fuerza bruta a clientes RDP crecieron alrededor de 40.1% de 2020 a 2021.
Conti fue detectado por primera vez en 2019 y fue uno de los grupos cibercriminales más activos en 2021. En noviembre de 2021, el número de víctimas acumuladas desde sus inicios daba cuenta que es el grupo qué más organizaciones afectó con 600.
Entre los ataques de este grupo qué más trascendieron en 2021 destaca el que impactó al sistema de salud de Irlanda y que provocó la interrupción de sus sistemas. Conti también atacó a otras 22 instituciones de salud de Estados Unidos, así como a los sectores manufacturero, alimentación, financiero, bancario, tecnología y construcción.
Entre los principales vectores de acceso inicial que utiliza Conti aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. En el caso de los correos de phishing, se ha observado el uso de documentos adjuntos maliciosos utilizados para descargar malware o aplicaciones legítimas usadas de forma maliciosa para realizar movimientos laterales dentro de la red de la víctima y con ello descargar el ransomware.
¿Cuál es la propuesta para hacer frente a Conti — así como a otros grupos cibercriminales de ransomware — ?
Es importante considerar tener en México una asociación de seguridad público-privada respaldada por el gobierno. ¿Suena difícil o utópico? No tanto, si consideramos que la vida de los ciudadanos dependerá de ello.
Desde una perspectiva más amplia de seguridad nacional e infraestructura crítica, estos ataques pueden ser devastadores para México si golpean nuestra base industrial militar, energía, servicios públicos, banca, transporte, alimentos, agua. Es un panorama preocupante: sin gasolina, sin luz, sin agua, sin cajeros automáticos o tarjetas de crédito, sin teléfonos, etcétera, simplemente no podemos soportar ver nuestros sistemas y organizaciones inoperables y a nuestros ciudadanos siendo perjudicados por ello.
En este sentido, la propuesta de no ceder a las exigencias de los cibercriminales y dejar de pagar rescates, también estaría respaldada por la asociación de seguridad público-privada antes mencionada.
¿Cómo se puede crear esta asociación?
Primero, las empresas se pueden unir voluntariamente en la que se adhieren a estándares y una alta supervisión de seguridad, y al mismo tiempo se comprometen a no pagar los rescates de ransomware. Además, estas empresas se colocan en una lista pública y se les otorga una insignia o sello de aprobación para indicar que están respaldadas y protegidas por la asociación y, en este caso, no pagarán ningún rescate.
En segundo lugar, el gobierno brinda un incentivo para que las empresas participen en la asociación y no paguen ransomware. El incentivo proporcionado es que las empresas están aseguradas por el gobierno en caso de un ataque de ransomware contra ellas. Esto es similar al seguro de ransomware, pero la diferencia es que el costo para las empresas sería una fracción de lo que de otro modo tendrían que pagar. El beneficio para el contribuyente es que el mercado de ransomware se agota con empresas que se han comprometido a no pagar. A medida que el programa se extiende por todo el país no quedan organizaciones por atacar.
Mientras el ransomware sea un esfuerzo lucrativo con poco o ningún riesgo para los atacantes cibernéticos que sigilosamente se salen con la suya, los ataques de ransomware no solo continuarán sino que aumentarán como una amenaza para nuestras empresas y gobierno. Sin embargo, una vez que se toma la decisión de no negociar con cibercriminales y esto es respaldado por el gobierno, entonces se puede neutralizar finalmente esta importante y creciente amenaza a la seguridad.
Por Víctor Ruiz, fundador de SILIKN.