Threat Research

El fenómeno del ransomware “basura”

Una investigación de Sophos X-Ops descubrió que una oleada de ransomware burdo y barato podría causar problemas a las pequeñas empresas y a los particulares, pero también ofrecer información sobre el desarrollo de la profesión de atacante y el panorama de las amenazas en general

En las décadas de 1960 y 1970, el mercado de armas de fuego de EE. UU. experimentó un fuerte aumento de armas baratas importadas. Los legisladores tomaron medidas contra la proliferación de estas armas baratas y a menudo poco fiables, ya que se consideraba que suponían un riesgo para los propietarios y facilitaban la delincuencia. Por supuesto, no era un problema exclusivo de Estados Unidos ni de aquella época: en el Reino Unido, donde las armas de fuego están ahora estrictamente reguladas, los delincuentes recurren a menudo a armas de fuego reactivadas, o incluso caseras o antiguas.

Aunque las “armas basura” suelen ser imprecisas y propensas a funcionar mal, comprarlas o crearlas para un posible delincuente tiene sus ventajas. Es poco probable que estas armas acaben en el punto de mira de las fuerzas de seguridad y pueden ser difíciles de rastrear. Suelen ser baratas, lo que reduce el coste de acceso a la posesión y el uso ilícitos. Además, a menudo pueden fabricarse u obtenerse sin necesidad de acceder a complejas redes delictivas.

Durante una investigación reciente de algunos foros clandestinos de ciberdelincuencia, en particular los frecuentados por atacantes no cualificados, Sophos X-Ops descubrió algo interesante: ransomware similar a armas basura.

Encontramos numerosos ejemplos de ransomware fabricado de forma independiente, barato y toscamente construido, en su mayoría vendido como compra única en lugar de con los típicos modelos de Ransomware-as-a-Service (RaaS) basados en suscripciones (y ninguno de los «ransomware basura» que encontramos aparece en el índice del grupo Ransomwatch en el momento de escribir estas líneas). Esto parece ser un fenómeno relativamente nuevo (aunque, por supuesto, los atacantes llevan décadas creando y vendiendo RAT y otros programas maliciosos baratos y de baja calidad). También nos hemos encontrado con otros atacantes, un peldaño o dos más abajo en la escala de habilidades, que expresan interés en el desarrollo de nuevo ransomware, intercambiando consejos sobre lenguajes, técnicas de evasión, objetivos y modelos de licencia.

A primera vista, la posibilidad de que unos individuos que producen y venden ransomware no parece plantear una amenaza significativa; está muy lejos de los conocidos y bien organizados grupos de ransomware que suelen venir a la mente. En este caso, no hay sitios de filtraciones, no hay IAB (Initial Access Broker), no hay afiliados, no hay jerarquías de tipo corporativo, no hay peticiones de rescate multimillonarias, no hay maniobras publicitarias, no hay objetivos de alto perfil, no hay malware sofisticado diseñado para derrotar a los productos EDR avanzados, no hay titulares ni se busca la atención de los medios de comunicación y hay poco análisis en profundidad por parte de los investigadores.

Pero profundizando más, descubrimos alguna información preocupante. Algunos individuos afirmaron haber utilizado el ransomware “basura” en ataques reales, completando toda la cadena de ataque por su cuenta, sin IAB. Otros afirmaron haberlo utilizado para atacar a pequeñas empresas y particulares, objetivos que Cl0p y ALPHV/BlackCat probablemente no considerarían valiosos, pero que aún podrían generar importantes beneficios para un solo atacante. Algunos usuarios dijeron que prefieren el ransomware autónomo porque no tienen que compartir beneficios, como en muchos modelos RaaS, ni dependen de la infraestructura desarrollada y gestionada por otros.

Lejos de la compleja infraestructura del ransomware moderno, el ransomware “basura” permite a los delincuentes entrar en acción de forma barata, fácil e independiente. Pueden dirigirse a pequeñas empresas y particulares, que probablemente no dispongan de recursos para defenderse o responder eficazmente a los incidentes, sin tener que pagar a nadie.

Por supuesto, el ransomware “basura” puede volverse en ocasiones contra los atacantes: puede ser defectuoso, hacer saltar las alarmas o ser neutralizado como parte de una estafa o la propia falta de experiencia de los atacantes puede llevar al fracaso o a la detección. En sus mentes, sin embargo, estos son probablemente riesgos aceptables, entre otras cosas porque el uso de ransomware “basura” puede conducir a oportunidades de negocio más lucrativas con bandas prominentes de ransomware.

En el siguiente artículo, revelamos nuestros hallazgos, compartimos los detalles del ransomware basura que encontramos y discutimos las implicaciones para las organizaciones, el público en general y la comunidad de seguridad.

Continúa leyendo (en inglés) aquí.