Los expertos en seguridad cibernética de la compañía estadounidense Symantec detectaron una nueva campaña de ataques cibernéticos, que consiste en distribuir el ransomware Sodinokibi a través del malware Cobalt Strike. Así lo anunció la compañía estadounidense de ciberseguridad, el pasado 23 de junio, a través de su sitio web.
De acuerdo con una publicación del Equipo de Descubrimiento e Inteligencia de Ataque Crítico de Symantec, los ataques detectados incluyeron el escaneo de las redes de las víctimas, en búsqueda de tarjetas de crédito y software de puntos de venta (PoS).
Desde Symantec explicaron que aún no tenían clara la razón por la cual los piratas informáticos se están inclinando por esta modalidad: si es por cuestiones de cifrado o si es que quieren obtener ese tipo de información de las víctimas para ganar mucho más dinero a través de los ciberataques.
Tres organizaciones infectadas con Sodinokibi
Los expertos en seguridad de Symantec indicaron que detectaron el malware Cobalt Strike en los sistemas informáticos de ocho organizaciones, de las cuales tres se infectaron posteriormente con el software malicioso Sodinokibi. Asimismo, especificaron que entre las organizaciones víctimas hay compañías de los sectores salud, alimentos y servicios, y resaltaron que «las empresas a las que se dirige este ransomware tienden a ser grandes organizaciones corporativas»:
«Las víctimas infectadas con Sodinokibi estaban en los sectores de servicios, alimentos y atención médica. Las compañías seleccionadas en esta campaña eran principalmente grandes, incluso multinacionales, que probablemente fueron atacadas porque los atacantes creían que estarían dispuestas a pagar un gran rescate para recuperar el acceso a sus sistemas». Equipo de Descubrimiento e Inteligencia de Ataque Crítico de Symantec.
En el comunicado explicaron que las empresas de sectores de alimentos y servicios, cuyos sistemas fueron infectados con Sodinokibi son grandes compañías con múltiples sitios, mientras que la organización de atención médica que atacaron era una compañía más pequeña.
Al respecto, desde Symantec añadieron que los sistemas informáticos de dicha organización del sector de salud «también fueron escaneados por los atacantes para el software PoS«, probablemente porque los ciberatacantes se hayan percatado de que dicha organización no estuviera en condiciones de pagar los grandes montos de rescate que, por lo general, se suelen exigir en ataques con ransomware Sodinokibi; los expertos de Symantec infirieron que tal vez esa haya sido la razón por la cual escanearon el software PoS, para ver si podrían ganar dinero de esa forma, o porque simplemente buscaban encriptarlo también.
En cuanto al escaneo de software de puntos de venta, la compañía de ciberseguridad señaló lo siguiente:
«Si bien muchos de los elementos de este ataque son tácticas «típicas» vistas en ataques anteriores con Sodinokibi, el análisis de los sistemas de víctimas para el software PoS es interesante, ya que esto no suele ser algo que veas junto con ataques de ransomware dirigidos. Será interesante ver si esto fue solo una actividad oportunista en esta campaña, o si se establecerá como una nueva táctica adoptada por las pandillas de ransomware específicas». Equipo de Descubrimiento e Inteligencia de Ataque Crítico de Symantec.
Atacantes usaron Cobalt Strike y el sevicio legítimo CloudFront de Amazon
Los expertos en seguridad de Symantec explicaron que. en esta campaña de ransomware detectada, los piratas informáticos se aprovecharon de herramientas legítimas para sus ataques; específicamente, utilizaron el servicio de alojamiento de código Pastebin y el servicio CloudFront de Amazon, como se explica a continuación:
«Los atacantes en esta campaña también usan infraestructura ‘legítima’ para almacenar su carga útil y para su servidor de comando y control (C&C). Los atacantes están utilizando el servicio de alojamiento de código Pastebin para alojar su carga útil (el malware Cobalt Strike y Sodinokibi) y están utilizando el servicio CloudFront de Amazon para su infraestructura de C&C, para comunicarse con las máquinas víctimas«. Equipo de Descubrimiento e Inteligencia de Ataque Crítico de Symantec.
Desde Symantec explicaron que el uso de servicios legítimos de parte de piratas informáticos se debe a que, al alojar sus cargas útiles y para su infraestructura se debe a que es más probable que el tráfico desde y hacia servicios legítimos se mezcle con el tráfico legítimo de una organización, además de disminuir la probabilidad de que el software malicioso sea detectado como sospechoso y de que sea bloqueado.
Rescate en Monero
De acuerdo con los expertos de seguridad de Symantec, las víctimas de Sodinokibi son extorsionadas con una demanda de rescate en la criptomoneda de Monero (XMR). Primero les solicitan un pago del equivalente a 50 mil dólares en XMR, si dicho monto no es pagado a los ciberatacantes dentro de las tres primeras horas, entonces ascienden el rescate a 100 mil dólares, señalaron en el comunicado.
«Los atacantes solicitaron que el rescate se pague en la criptomoneda Monero, que es favorecida por su privacidad, ya que, a diferencia de Bitcoin, no necesariamente puede rastrear las transacciones. Por esta razón, no sabemos si alguna de las víctimas pagó el rescate, que fue de $ 50,000 si se paga en las primeras tres horas, aumentando a $ 100,000 después de ese tiempo«. Equipo de Descubrimiento e Inteligencia de Ataque Crítico de Symantec.
Destaca que en el mes de abril Bleeping Computer reportó que los operadores del ransomware Sodinokibi habían señalado, en un foro de hackers y malware, que habían comenzado a adoptar la criptomoneda de Monero para las demandas de rescate, esto debido a la dificultad que representa su rastreo para los policías, sustituyendo así los rescates en BTC po XMR.
¿Qué es Sodinokibi?
Symantec publicó que el ransomware Sodinokibi o REvil es considerado como una de las mayores amenazas cibernéticas de la actualidad. Este compañía estadounidense señaló que Sodinokibi apareció por primera vez en abril del año pasado, y que se sospecha que quienes están detrás de él son los mismos creadores del ransomware GandCrab.
Malwarebytes Labs señala que Sodinokibi está dirigido a sistemas Windows, cifra archivos importantes y pide un rescate en criptomonedas para desencriptarlos.
Asimismo, los expertos de seguridad de Symantec indicaron que al principio se creía que Sodinokibi era operado por un sólo grupo; sin embargo, en la actualidad se cree que este es un Ransomware como Servicio (RaaS), que consiste en que «un grupo mantiene el código y lo alquila a otros grupos, conocidos como afiliados, que llevan fuera de los ataques y difundir el ransomware». Cabe destacar que todos los involucrados consiguen un beneficio, de manera que son divididos entre la pandilla que lo creó y los afiliados.
Sodinokibi también se ha caracterizado por enviar amenazas de divulgación de los datos robados de las víctimas en caso de que estas no paguen el rescate. Sodinokibi lanzó un blog en la Dark Web, a través del cual ha ofrecido en venta y subasta los datos de las víctimas.
A inicios de este año, la compañía británica dedicada al intercambio de divisas, Travelex, recibió un ataque con el ransomware Sodinokibi. Para evitar mayores daños, la compañía tomó las medidas de cerrar su sitio web y apagar sus servidores. Los actores de este ciberataque exigieron un rescate de 6 millones de dólares en bitcoins.
A principios de junio se conoció que la empresa de telecomunicaciones más grande de África, Telkom, fue víctima del ransomware Sodinokibi, y que los atacantes amenazaron con filtrar la base de datos de clientes de Telkom. Según un investigador de seguridad, los atacantes pudieron haber extorsionado a Telkom con una demanda de rescate de un millón de dólares.
A mediados de junio, los diarios australianos The Sydney Money Herald e iTWire anunciaron que la cervecera Lion había sufrido un segundo ataque de ransomware en menos de dos semanas. Los medios locales reportaron que los sistemas informáticos de Lion habían sido infectados con el ransomware Sodinokibi, y que los operadores estaban exigiendo un rescate de 800 mil dólares en Monero, además de que amenazaron con aumentar el monto a 1,6 millones de dólares sino cancelaban el primero dentro del periodo exigido.
Recientemente, la compañía de seguridad Symantec logró detectar y bloquear una oleada de ataques de ransomware atribuidos a Evil Corp, dirigidos a más de 30 compañías estadounidenses, incluyendo corporaciones de la categoría Fortune 500. Los ataques frustrados consistían en infectar los sistemas TI de tales organizaciones con un nuevo tipo de software malicioso, llamado WastedLocker.
Imagen destacada por Mohamed Hassan / pixabay.com
