Irán, el origen de una cadena de ataques ransomware contra Israel y otras empresas europeas

16 noviembre, 2020
5 Compartido 1,332 Visualizaciones

El virus Pay2Key, que permite cifrar toda la información del equipo infectado en menos de una hora

Investigadores de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) han seguido la pista de Pay2Key, una nueva variante de ransomware recientemente descubierta capaz de cifrar la información de la víctima en menos de 1 hora, y han descubierto que tras esta ciberamenaza se encuentra un grupo de ciberdelincuentes en Irán. En un primer momento, los expertos de la compañía revelaron que este ciberataque estaba dirigido contra empresas israelíes, pero recientemente se han descubierto nuevas pruebas que apuntan a que compañías de otros países europeos también habrían sido víctimas de esta amenaza.

En busca del dorado

Cuatro víctimas de Pay2Key decidieron pagar el rescate, ofreciendo a Check Point la oportunidad de seguir la pista al dinero extraído. Los investigadores de la compañía, en colaboración con la empresa de inteligencia de blockchain Whitestream, rastrearon secuencias de transacciones de Bitcoin a una criptodivisa iraní llamada Excoino. El flujo comienza con las carteras (wallets) encontradas en las notas de rescate, continúa con una cartera (wallet) intermedia y finalmente con una cartera final asociada a dicha divisa digital.

Excoino es una entidad iraní que presta servicios de transacciones seguras de criptomonedas sólo a ciudadanos del país. Para registrarse, es necesario que el usuario tenga un número de teléfono iraní válido y un código ID/Melli, así como un documento de identidad. Tomando esto como punto de partida, los investigadores de Check Point llegaron a la conclusión de que los actores maliciosos detrás de esta amenaza son, con toda probabilidad, ciudadanos iraníes.

La doble extorsión, eje principal del ataque

Los ciberdelincuentes detrás de Pay2Key utilizan una táctica llamada doble extorsión, una evolución reciente en el arsenal de variantes de ransomware. Esta nueva estrategia no se limita a cifrar la información de la víctima para exigir el pago de un rescate, sino que, para aumentar la presión, amenazan con publicar cualquier datos si no se cumplen sus exigencias. Además, los grupos de ciberdelincuentes que utilizan Pay2Key han creado un sitio web dedicado a filtrar información de sus víctimas. 

Se cree que el punto de entrada inicial para todas las intrusiones son servicios RDP (Remote Desktop Protocol), que se caracterizan por su bajo nivel de seguridad. Una vez dentro de la red de la víctima, los atacantes establecen un dispositivo que se utilizará como proxy para todas las comunicaciones salientes entre los ordenadores infectados por el virus y los servidores de mando y control (C2) de Pay2Key. Esto ayuda a los ciberdelincuentes a evadir las medidas de detección antes de cifrar todos los sistemas de la red utilizando un solo dispositivo para comunicarse con su propia infraestructura. Una vez que el cifrado termina, se dejan las notas de rescate en los sistemas hackeados, y grupo detrás del ataque pide un rescate que oscila entre las 7 y las 9 Bitcoins (entre 110.000 y 140.000 dólares).

«Estamos viendo cómo aumenta el ransomware a nivel global, dirigidos contra cualquier tipo de objetivo, desde hospitales hasta grandes empresas. Pay2Key es una variante sofisticada y mucho más rápida. Los recientes acontecimientos indican que un nuevo grupo de ciberdelincuentes se ha unido a la tendencia del ransomware dirigido, y todas las pruebas recabadas hasta ahora apuntan a que tienen su base en Irán”, señala Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point. “Estos grupos de cibercriminales han puesto en marcha una campaña alarmante diseñada para maximizar el daño y minimizar la detección, por lo que aconsejamos a las empresas de todo el mundo que extremen las precauciones «, concluye Finkelsteen.

Recomendaciones para estar protegidos

  1. Parchear de forma virtual: Aunque es difícil mantenerse al día con cada actualización de software, si se adopta un enfoque más completo que combine la funcionalidad de los sistemas de prevención de intrusiones (IPS) con una estrategia de aplicación de parches de seguridad, las empresas pueden asegurarse de que están protegidas contra los exploits más recientes.
  2. Implantar un sistema de prevención de intrusiones: estas herramientas detectan y previenen los intentos de explotar las debilidades de los sistemas o aplicaciones. 
  3. Instalar Anti-Ransomware: estos productos protegen a las empresas frente a las variantes de ransomware más sofisticados, al mismo tiempo que recupera de forma los datos cifrados, asegurando la continuidad y la productividad del negocio.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Integración con SolarWinds para agilizar procesos y automatizar la ciberseguridad
Actualidad
4 compartido659 visualizaciones
Actualidad
4 compartido659 visualizaciones

Integración con SolarWinds para agilizar procesos y automatizar la ciberseguridad

Alicia Burrueco - 28 enero, 2020

Tras la integración con SolarWinds N-central a comienzos del pasado año, Kaspersky ha integrado sus soluciones de ciberseguridad con la…

Las mayores compañías del mundo no muestran un compromiso claro con la ciberseguridad
Actualidad
6 compartido1,117 visualizaciones
Actualidad
6 compartido1,117 visualizaciones

Las mayores compañías del mundo no muestran un compromiso claro con la ciberseguridad

Alicia Burrueco - 7 octubre, 2019

El 38 % de las empresas Fortune 500 de 2019 no cuentan con un director de seguridad de la información…

Softtek adquiere 75% de Vector ITC
Actualidad
2 compartido1,261 visualizaciones
Actualidad
2 compartido1,261 visualizaciones

Softtek adquiere 75% de Vector ITC

Alicia Burrueco - 13 diciembre, 2019

Softtek suma a su porfolio las capacidades de una de las empresas más dinámicas y de rápido crecimiento en el…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.