Ir al contenido
Security Operations

¿A dónde van todos esos pagos por delitos informáticos?

En Sophos, lo hemos preguntado con asiduidad, o al menos lo hemos dado a entender: “¿A dónde crees que van todos esos pagos por delitos informáticos?”

Cuando una víctima de ransomware entrega una cantidad de bitcoins en gran parte anónima y casi imposible de rastrear, por ejemplo, para pagar una demanda de chantaje multimillonario con la esperanza de recuperar sus archivos inutilizables… ¿qué pasa con ese dinero?

La pregunta, como está planteada anteriormente, es retórica, dado que todos podemos hacer nuestras propias conjeturas sobre lo que hacen los cibercriminales con el dinero.

Pero nos hemos enfrentado a esa pregunta de manera bastante literal en varias ocasiones, como lo hicimos cuando varios sospechosos fueron arrestados en Ucrania, supuestamente en relación con ataques de ransomware atribuidos a una banda conocida como “Clop”.

En ese caso, parece que al menos parte del dinero se destinó a coches de lujo.

Los vídeos policiales de esas detenciones muestran impresionantes colecciones de llaveros de automóviles que se reúnen como prueba, y numerosos coches de lujo que se cargan en grúas y se confiscan.

Reinvertir en el negocio

También hemos escrito antes sobre uno de los grupos que utilizan REVil en sus ataques.

Esa es la misma operación de ransomware REvil que supervisó el ataque de ransomware “Independence Day Weekend 2021” lanzado simultáneamente en más de 1000 redes a través del software de la empresa de gestión de TI Kaseya.

Ese ataque pedía un pago único de 70 millones de dólares en bitcoins que “resolvería” todo el incidente de un plumazo al lanzar una única herramienta de descifrado que contenía todo los secretos necesarios para restaurar cualquier ordenador en cualquier red que perteneciera a cualquier víctima.

Presumiblemente conscientes del anterior ataque a Colonial Pipeline en el que un pago por el rescate de 4,4 millones de dólares resultó en un descifrador que, aunque funcionaba en teoría, no valía nada en la práctica porque era demasiado lento, el equipo de REvil incluso afirmó alegremente que su llamado descifrador universal permitiría a todos “recuperarse del ataque en menos de una hora”.

1 millón de dólares pagados por adelantado

El año pasado, REvil llegó a los titulares cuando pagaron 1.000.000 $ en bitcoins en un foro clandestino de ciberdelitos como pago por adelantado por servicios prestados.

El equipo de REvil no podía recuperar ese dinero, básicamente era una prueba de su poderío económico destinado a demostrar a los miembros del foro que el dinero que estaba ofreciendo era más que una simple promesa: ya estaba invertido y comprometido a gastar en los “solicitantes de empleo” escogidos.

Bueno, según el investigador de ciberseguridad Pierluigi Paganini de Security Affairs, otro ciberdelincuente anónimo acaba de hacer algo similar.

Debido a las fluctuaciones en el valor en dólares de Bitcoin, en este caso ahora el valor está más cercano a 888.888 $ que a un millón, pero sigue siendo una asombrosa cantidad para pagar por adelantado: 26,994602 BTC, según Paganini.

Cuando REvil aumentó su recompensa en efectivo de 1 millón de dólares, dijo que estaba buscando técnicos con una amplia gama de habilidades, incluido el lenguaje de programación C#, que se usa comúnmente para crear aplicaciones de Microsoft .NET y es muy popular entre los creadores de malware, de virtualización y de copias de seguridad.

(Los ciberdelincuentes de ransomware con habilidades de copia de seguridad offline y online pueden servir para dos propósitos: encontrar y destruir cualquier copia de seguridad que la víctima tenga y hacer silenciosamente copias de seguridad no autorizadas offline para guardar los datos robados que se pueden usar para la extorsión).

Este ciberdelincuente, aparentemente, tiene otras ideas y está buscando comprar uno o más de los siguientes, entre una lista más larga:

* Compraré la RAT más limpia de las detecciones […], con la perspectiva de una mano […]

* Compro métodos de inicio no utilizados en Windows 10 (software sin archivos, vive en el registro), hasta 150.000 $ por la solución original […]

* Compro exploits de día 0 en una mano para Windows 10 (LPE, RCE) con un presupuesto de hasta 3 millones de dólares para RCE 0 clics […]

¿Qué significa?

Traducimos la jerga anterior:

  • RAT es la abreviatura de Troyano de acceso remoto.

También conocidos como bots (abreviatura de robots de software) o zombies, los RAT abren agujeros de acceso no autorizados que permiten a los ciberdelincuentes tomar el control remoto de un ordenador a voluntad.

Algunas RAT proporcionan comandos de acceso remoto explícitos que activan el registro de teclas, toman capturas de pantalla, graban audio y video o copian archivos confidenciales.

Pero casi todas las RAT también incluyen funciones que actualizan automáticamente la RAT en sí, que descargan e instalan automáticamente malware arbitrario adicional o que rápidamente apagan y eliminan la evidencia de la RAT original.

La capacidad de una RAT de transformarse en una infección de malware completamente diferente a voluntad significa que los riesgos que plantea una RAT no detectada son esencialmente ilimitados.

  • Software sin archivos, vive en el registro.

Técnicamente, el software que “vive en el registro” no es realmente un software sin archivo, porque el registro en sí se almacena en un archivo en su disco duro.

Pero la mayoría del software que Windows inicia automáticamente al inicio aparece en el registro como el nombre de archivo que contiene el programa que debe ejecutarse, por lo que si ese programa es malicioso o no deseado, un escaneo regular del disco duro encontrará el archivo malicioso y simplemente puede eliminarlo.

Si la referencia al archivo se queda atrás en el registro, no se produce ningún daño porque el archivo ya no existe y, por lo tanto, no se puede ejecutar en el futuro.

Sin embargo, algunas entradas del registro pueden contener el script o programa real que Windows debería ejecutar, codificado directamente en los datos del registro.

Las amenazas almacenadas de esta manera no ocupan un archivo propio en el disco, por lo que generalmente son más difíciles de encontrar y solucionar.

  • LPE es la abreviatura de escalada de privilegios local.

Generalmente nos referimos a LPE por su sinónimo EoP, que es el término utilizado por Microsoft en sus boletines de seguridad.

Ya sea que se diga escalada de privilegios local o elevación de privilegios, la idea es la misma: los ciberdelincuentes no pueden acceder a un ordenador con una vulnerabilidad de LPE, pero si ya están dentro, pueden usar un exploit de LPE para promocionarse de un usuario regular, a una cuenta que pueda causar un daño mucho más amplio y profundo a la red.

Los privilegios de cuenta que suelen perseguir los atacantes incluyen la cuenta del SISTEMA local o incluso el Administrador de dominio, lo que pone a los atacantes en pie de igualdad con los propios administradores de sistemas.

  • RCE es la abreviatura de ejecución remota de código.

El nombre RCE significa exactamente lo que dice, es decir, que los atacantes pueden ingresar a un ordenador y ejecutar un programa de su elección, sin necesidad de un nombre de usuario o contraseña para iniciar sesión en primer lugar.

Algunas vulnerabilidades, como PrintNightmare en Windows Print Spooler que se reveló a finales de junio de 2021, combinaron RCE con LCE/EoP, lo que los hace aún más útiles para los ciberdelincuentes porque significa que pueden “entrar y subir” en un ataque.

  • Los exploits de día cero o día cero son los que no tienen parche disponible.

El término día cero se tomó prestado de la piratería de juegos de ordenador, donde la frase “un crack de día cero” se refería a un truco de protección contra copia que se encontró tan rápidamente que salió el mismo día que el juego en sí, lo que le dio al proveedor de software cero días para estar por delante en la carrera contra la piratería.

En lo que respecta a las vulnerabilidades de software, un exploit de día cero generalmente se refiere a cualquier vulnerabilidad que los ciberdelincuentes saben cómo utilizar antes de que los “buenos” tengan una actualización oficial que la desactive, de modo que literalmente hubo cero días en los que incluso un administrador de sistemas bien informado podría haber parcheado de antemano.

Los ataques de 0 clics funcionan sin necesidad de que el usuario realice ninguna acción.

Incluso los llamados ataques de 1 clic o de múltiples clics pueden ser realmente peligrosos, si esos clics no producen ninguna advertencia tipo “¿Está seguro?” que podría indicar que se estaba produciendo un ataque.

Por ejemplo, un ataque de 1 clic que solo requiera que abra o obtenga una vista previa de un correo electrónico, sin hacer más clic ni abrir ningún archivo adjunto en él, sería perjudicial porque simplemente leer el correo electrónico no se considera controvertido y se supone que es seguro.

Pero un ataque de 0 clics normalmente funciona no solo sin que se requiera ninguna acción por parte del usuario, sino también si el ordenador está bloqueado, o incluso si nadie ha iniciado sesión, como suele ser el caso en los servidores.

Por lo visto, creemos que quien hizo la oferta original usó algún tipo de mala traducción automática para escribir las frases que aparecen más arriba.

No estamos muy seguros de qué significa realmente “la perspectiva de una mano” o “comprar en una mano”, pero asumimos que son figuras retóricas del idioma nativo del autor que significan “vendidas exclusivamente para mí”.

Con cerca de un millón de dólares comprometidos, el anunciante claramente no está falto de dinero disponible.

¿Qué hacer?

No vamos a decir: “Nunca, nunca, pagues el rescate”, porque por lo que sabemos, podría ser la única oportunidad, sin importar lo doloroso que sea, para evitar un desastre comercial que podría poner a una empresa y a su empleados al borde del colapso económico o incluso forzar su desaparición.

Pero si alguna vez te has preguntado a dónde va ese dinero de chantaje y si eres lo suficientemente inocente como para pagar la “tarifa de ransomware” solo para ahorrar el tiempo y el esfuerzo de activar tus procedimientos de copia de seguridad y recuperación,  ahora lo sabes.

PD. Incluso si pagas, es posible que descifrar tus datos no funcione tan bien como esperabas. Pregúntale a Colonial Pipeline cómo fue ese proceso, o consulta nuestro artículo “Ransomware: don’t expect a full recovery, however much you pay” para descubrir los problemas experimentados por la gran mayoría de las víctimas en nuestra encuesta que informaron sobre sus experiencias después de pagar a los ciberdelincuentes.

1 comentario

Dejar un comentario

Your email address will not be published. Required fields are marked *