Siguiendo la tendencia del ransomware multiplataforma, Kaspersky ha descubierto nuevos grupos de ransomware que han aprendido a adaptar su malware a diferentes sistemas operativos al mismo tiempo – y por lo tanto, a causar daños a más organizaciones. Una reciente investigación descubrió la actividad de RedAlert y Monster, grupos que lograron realizar ataques en diferentes sistemas operativos sin recurrir a lenguajes multiplataforma. Además, los expertos describieron exploits 1-day que pueden ser ejecutados por grupos de ransomware para conseguir sus objetivos financieros.
Durante el año 2022, los analistas de seguridad de Kaspersky han sido testigos del aumento del uso de los servicios multiplataforma por parte de los grupos de ransomware. En la actualidad, su objetivo es dañar el mayor número posible de sistemas adaptando su código de malware a varios sistemas operativos a la vez. Kaspersky ya ha descrito grupos de este tipo que utilizaban lenguajes multiplataforma Rust o Golang, como Luna o BlackCat. Sin embargo, esta vez los grupos de ransomware denunciados despliegan un malware que no está escrito en un lenguaje multiplataforma, pero que puede dirigirse a varios sistemas operativos simultáneamente.
Uno de los grupos, RedAlert, emplea malware escrito en C plano, como se detectó en la muestra de Linux. Sin embargo, el malware desarrollado por RedAlert soporta explícitamente entornos ESXi. Además, el sitio web de RedAlert onion ofrece un descifrador para su descarga – desafortunadamente, no hay datos adicionales disponibles sobre si está escrito en lenguaje multiplataforma o no. Otro aspecto que diferencia a RedAlert de otros grupos de ransomware es que sólo aceptan pagos en la criptomoneda Monero, lo que hace que el dinero sea más difícil de rastrear. Aunque este enfoque podría ser razonable desde el punto de vista de los delincuentes, Monero no se acepta en todos los países ni en todas las casas de cambio, por lo que las víctimas podrían tener problemas para pagar el rescate.
Otro grupo de ransomware detectado en julio de 2022 es Monster, que aplica Delphi, un lenguaje de programación que, sin embargo, se expande en diferentes sistemas. Lo que hace especialmente peculiar a este grupo es que cuenta con una interfaz gráfica de usuario (GUI), un componente que nunca antes había sido implementado por grupos de ransomware. Además, los ciberdelincuentes ejecutan los ataques de ransomware a través de la línea de comandos de forma automatizada durante un ataque dirigido.
Monster realizó ataques a usuarios de Singapur, Indonesia y Bolivia.
GUI utilizada por Monster
El informe también cubre los llamados exploits 1-day utilizados para atacar en Windows 7-11. El exploit de 1 día suele dirigirse a un aprovechamiento de una vulnerabilidad ya parcheada, y siempre plantea una cuestión de política de parcheo dentro de la organización afectada. El ejemplo dado se refiere a la vulnerabilidad CVE-2022-24521 que permite a un atacante obtener privilegios del sistema en el dispositivo infectado. Los atacantes tardaron dos semanas en desarrollar los dos exploits, tras haberse revelado la vulnerabilidad, en abril de 2022. Lo más interesante de estos exploits es que son compatibles con diversas versiones de Windows. Esto suele indicar que los atacantes se dirigen a organizaciones comerciales. Además, ambos exploits comparten muchos mensajes de depuración. Uno de los casos detectados incluye ataques a una cadena de tiendas en la región de APAC – sin embargo, no hay datos adicionales sobre lo que los ciberdelincuentes estaban tratando de lograr.
«Nos hemos acostumbrado a que los grupos de ransomware desplieguen malware escrito en lenguaje multiplataforma. Sin embargo, en estos días los ciberdelincuentes han aprendido a ajustar sus códigos maliciosos escritos en lenguajes de programación sencillos para realizar ataques conjuntos, haciendo que los especialistas en seguridad desarrollen formas de detectar y prevenir los intentos de ransomware. Además, queremos llamar la atención sobre la importancia de revisar y actualizar constantemente las políticas de parches que aplican las empresas», comenta Jornt van der Wiel, analista senior de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.