Juego de tronos en el cibercrimen: cuatro grupos emergentes que preocupan a los expertos
El perfil bajo adoptado por REvil o Darkside, protagonistas de los últimos grandes ciberataques, para evadir titulares y actuaciones policiales deja hueco para que entren en escena nuevos actores
A finales de julio la banda de cibercriminales REvil, a la que IBM atribuía un 23% de los ataques de secuestro informático ―ransomware― mundiales en 2020 se desvaneció de la red. De un día para otro borró su presencia del internet oscuro, cuyas profundidades escapan del alcance de los navegadores tradicionales. Un mes antes, los piratas de DarkSide, que pusieron en jaque los oleoductos y el suministro de combustible del sureste de Estados Unidos, habían anunciado en sus propios canales de este medio que cerraban sus operaciones. En su comunicado, adujeron que habían perdido acceso a su infraestructura a causa de una actuación policial.
La verdadera motivación de ambos colectivos para adoptar este perfil bajo fue objeto de debate. Y tampoco ha sido posible certificar su muerte. Por los mentideros del internet oscuro corren rumores de que sus integrantes podrían haberse reestructurado en un nuevo colectivo bautizado como BlackMatter. “La única manera de saber si siguen activos es dejar correr el tiempo e ir viendo lo que ocurre porque estos grupos tienen unos patrones de actuación muy marcados”, explica Daniel Martínez Ortiz, profesor del máster de Seguridad Informática de la Universidad Internacional de La Rioja y responsable de ciberseguridad de Sodexo para España y Portugal.
Por lo pronto, no sabemos con seguridad si las cabezas de la hidra están cortadas, disfrazadas o echando una discreta siesta mientras se reduce la presión de las fuerzas de seguridad, pero ya hay otras intentando ocupar el espacio que han dejado. Un informe de la firma de seguridad Palo Alto Networks señala a los grupos de nueva creación, AvosLocker y Hive, y a los más antiguos, HelloKitty y LockBit 2.0, como amenazas emergentes con potencial para causar estragos dignos de sus antecesores. “Son grupos muy recientes que se aprovechan de la eclosión de este tipo de ataques, pero no están compitiendo. Se dedican a su nicho y no miran hacia los lados”, matiza Martínez, que prescribe idénticas precauciones ante todos ellos. “No hay que temer ni a unos ni a otros. Tiene que preocuparnos si estamos o no preparados para este tipo de ataques”.
El escarabajo azul
AvosLocker entró en escena a principios de julio. La banda completa su imagen corporativa con un escarabajo azul presente en sus comunicaciones oficiales y en las páginas desde las que gestiona las relaciones con las víctimas de sus ofensivas. En sus operaciones sigue el mismo patrón que Darkside o REvil: en el marco del modelo conocido como Ransomware as a Service –secuestro informático como servicio– o RaaS, vende su programa malicioso a afiliados interesados en lanzar sus propios ataques. Y, de acuerdo con el anuncio que colgaron en la plataforma Dread –una suerte de Reddit del internet oscuro–, les acompañan en el proceso. “Después de que infectes al objetivo, nos encargamos de la negociación, de alojar las filtraciones, publicarlas en nuestro blog y demás”, ofrecían, antes de especificar que todos los pagos deben hacerse a través de la criptodivisa Monero, preferida por los cibercriminales por sus garantías de privacidad y anonimato.
La nota de rescate que acompaña los secuestros informáticos perpetrados por este grupo facilita un código de identificación a las víctimas y las remite a un portal donde deben autenticarse para iniciar la negociación. Llegado este punto, la página muestra una cuenta atrás para el incremento de la suma del rescate. “Ellos quieren el dinero cuanto antes. Y lo que hacen es jugar con el miedo de las personas”, comenta Martínez. La banda ofrece además un chat de atención al cliente y se lava las manos de lo ocurrido: “AvosLocker no está implicada en ningún ataque y actúa como un mero árbitro. Nuestro interés es que ambas partes estén satisfechas con nuestro servicio”. ¿Se lo creen? “Es pura fachada”, sentencia el experto.
La colmena
La identidad corporativa de Hive –colmena en inglés– se construye con hexágonos como los que tendría un panal de abejas. De acuerdo con Palo Alto Networks, estos cibercriminales comenzaron a operar en junio de 2021 y desde entonces han lanzado 28 ataques a distintas organizaciones, entre ellas, proveedores de servicios sanitarios y a organizaciones de tamaño medio “poco equipadas para gestionar un ataque de ransomware”. También ofrecen un servicio de chat donde los afectados pueden comunicarse con sus atacantes.
Cuando Hive es el artífice del secuestro informático, la nota de rescate incluye además una suerte de mandamientos que las víctimas deben cumplir para “evitar perder sus datos”. En primer lugar se les recomienda no apagar o reiniciar los equipos ni retirar soportes de almacenamiento externo y no recurrir a software de terceros para levantar el cifrado y recuperar el acceso a los archivos. “Es absolutamente todo lo contrario”, zanja Martínez. “La primera acción que tienes que llevar a cabo cuando tienes algún tipo de ransomware es desconectar la red y posteriormente los equipos”.
Las mentiras disfrazadas de consejos continúan: “No te engañes. El cifrado tiene secreto perfecto y es imposible descifrarlo sin conocer la clave”. Para Martínez, la realidad no es tan sencilla. “En estos casos se hace análisis forense de los virus que infectan los ordenadores para obtener la clave. El Incibe trabaja mucho de esta manera”, explica. En este contexto, la recuperación del acceso no está garantizada, pero es una posibilidad. El inconveniente es que en ocasiones lleva más tiempo del que puede permitirse la víctima.
Las últimas sugerencias son más bien amenazas. Se conmina a las víctimas a no contactar con las autoridades, bajo el pretexto de que si lo hacen, se detendrá la negociación y se borrarán las claves. “No rechaces pagar. Tus datos sensibles se difundirán públicamente”, concluyen. La filtración de los datos es una posibilidad, pero el experto aconseja pedir ayuda.
Bandas veteranas
HelloKitty no nació ayer. Esta familia de ransomware empezó a circular entre equipos de Windows a finales de 2020 y el pasado julio se constató su presencia también en Linux. Según Palo Alto Networks, no está tan claro que los ataques que emplean este tipo de programa informático malicioso puedan atribuirse a un único grupo, ya que varían los medios que emplean para comunicarse con las víctimas. La firma de seguridad recoge una captura de un chat: “Hola, si has venido a cerrar un trato, discutamos. Si has venido a hacernos perder el tiempo, no deberías hacerlo. Responderemos a tus preguntas después del pago”, comienzan.
HelloKitty volvió a los titulares después de un periodo de baja actividad en febrero de este año, tras el ataque a la desarrolladora de videojuegos polaca CD Projekt Red, responsable de la saga de videojuegos de The Witcher. Los atacantes robaron el código fuente de los videojuegos Cyberpunk 2077 y The Witcher 3: WildHunt con la intención de subastarlo por un precio de partida de un millón de dólares y con pujas que se iban incrementando de 500.000 en 500.000 dólares.
LockBit 2.0 es la abuela de todas las anteriores. Esta banda que también está en el negocio del RaaS comenzó su actividad en septiembre de 2019. En aquel entonces era simplemente LockBit y venía de la disolución de un consorcio con otro grupo de cibercriminales desaparecido, Maze. El pasado mes de junio, después de un lavado de cara que afectó tanto al funcionamiento del virus, que, presumen, es el más rápido de cuantos están operativos, como a la identidad gráfica del colectivo. Según las cuentas de Palo Alto Networks, han atacado más de 50 organizaciones de diferentes sectores desde junio, entre ellas recientemente Accenture, aunque la compañía aseguró que no había habido impacto en sus operaciones ni en el sistema de sus clientes.
Cuando completa la infección, LockBit 2.0 cambia el fondo de pantalla de sus víctimas por un cartel donde anuncia lo ocurrido y aprovecha para anunciar su búsqueda de colaboradores. “¿Te gustaría ganar millones de dólares? Nuestra empresa compra acceso a las redes de varias compañías así como información privilegiada que puede ayudarte a robar los datos más valiosos de cada empresa”, aseguran.
Pese a los avances de estos cuatro aspirantes, Martínez insiste en que lo importante es estar preparado y concentra sus temores en que los rumores que corren sobre BlackMatter sean ciertos. “Imagínate que se junta la élite de cada uno de ellos, que ya por separado eran muy potentes”, comenta. Por lo pronto, solo queda esperar. Y actualizar nuestros equipos.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.