La desactivación de un célebre ‘malware' aspira a reducir el secuestro de datos informáticos

Una operación global contra los servidores de mando y control de la botnet (red de bots) Trickbot espera tener como consecuencia reducir, al menos temporalmente, uno de los métodos de ataque de ransomware (secuestro de datos) más populares en el último año. Trickbot era usado junto a programas maliciosos como Emotet y Ryuk para alcanzar, inspeccionar y cifrar los servidores de empresas y organizaciones. “Es una de las botnets más peligrosas hoy por el número de máquinas infectadas y por la cadena que formaban Emotet, Trickbot y Ryuk”, dice Josep Albors, responsable de investigación de ESET España, una de las organizaciones que ha participado en la operación, junto a Microsoft, NTT y el centro de investigación Black Lotus Labs de Lumen.

En España, ha habido docenas de ataques de este triunvirato, aunque pocos suelen salir a la luz. El Ayuntamiento de Jerez fue uno de los más notables y donde salieron todos los detalles. Pero no fue claramente el único. En el último informe del Centro Criptográfico Nacional (CCN), publicado en septiembre de 2020, dan las cifras de 2019: “Durante 2019 se pudo ver una escalada de ataques sofisticados dirigidos a múltiples sectores, entre los que se encuentra la Administración Pública. La mayoría de los ataques fueron el resultado de la cooperación entre varias amenazas, y un ejemplo de ello es la distribución masiva de Emotet/Trickbot a través de sucesivas campañas de distribución de correos maliciosos”, dice el informe del CCN.

La operación no significa, ni mucho, menos el fin de Trickbot, sino un intento de mitigación de sus consecuencias, al menos temporal. Este es solo un eslabón de estas operaciones: “Es más bien un balón de oxígeno para que las empresas puedan prepararse mejor”, dice Albors. En ESET valoran distintas posibilidades para el futuro de este ataque: “Desestabiliza a los delincuentes y tardan unos meses en salir o incluso no llegan a salir más porque hay gente investigando detrás. Aunque también pueden esperar y cambiar su método de ataque. Aunque también pueden intentar reaccionar y recuperar esos centros de mando porque tengan capacidad y seguir infectando”, explica.

A pesar de que la desactivación de los centros de mando depende de las fuerzas policiales, en los paneles de ESET, se ve cierto bajón en la actividad de Emotet y Trickbot: “Desde el 2 de octubre, Emotet está bajo mínimos. Trickbot bajó en agosto, recuperó en septiembre, pero desde finales de septiembre, apenas sale”, explica Albors. “Esto podría estar vinculado a nuestra operación o no, porque a veces hacen temporadas de vacaciones, quizá para invertir su dinero o desaparecer del radar cuando temen algo. Por ejemplo, desaparecieron en febrero y hasta julio no volvieron”, explica.

La operación no atribuye a nadie el uso de estas herramientas. “No es nuestro trabajo”, dice Albors. Aunque en su informe adjuntan un mapa donde aparece actividad de Trickbot en la inmensa mayoría de países del mundo y solo algunos salen indemnes: un puñado de países africanos, Mongolia, Irán, Irak, Libia o Corea del Norte.

Investigación

La investigación de Trickbot empezó en 2016, cuando se dedicaba sobre todo al robo de credenciales bancarias. Llegaba al ordenador de un usuario a través de un email y esperaba allí hasta que ese usuario quisiera ir a la página de su banco. Entonces, mediante un sistema llamado inyección web, colocaba una ventana falsa ante los ojos del usuario: allí y no en su banco real escribía su contraseña, que inmediatamente llegaba a manos de los delincuentes.

La ventaja de Trickbot es su versatilidad. En el informe que acompaña la investigación, hablan de 28 plugins distintos: “Algunos son para recoger contraseñas de navegadores, emails u otras aplicaciones, mientras que otros pueden modificar tráfico de red o autopropagarse”.

En el último año, Trickbot se había hecho especialmente útil como parte del tridente del ransomware: Emotet infectaba una máquina mediante un correo que llevara adjunto un Word o Excel con macros. La gente creía que era una factura o documento importante. La segunda fase se activaba cuando se descargaba Trickbot, que reconoce lateralmente para ver si estaba en una red corporativa, y de qué tamaño, o en un ordenador doméstico. “La siguiente fase es intentar localizar archivos interesantes y robarlos. Entonces llega la última fase: instalar un ransomware, Ryuk normalmente. Cuando llega ese punto los delincuentes ya han entrado, visto lo que hay y robado lo que les interesa”, explica Albors.

En los últimos meses, al cifrado se le añadía el robo de documentos importantes y la amenaza de su publicación. El reglamento europeo de protección de datos obliga a pagar aseveras multas si eso ocurre, así que algunas empresas podrían plantearse ceder al chantaje antes de ver emerger en la web los archivos de sus clientes, que implicaría una multa enorme.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.