Cyber Expertos

No se acaba hasta que se acaba: nunca demos por sentado que hemos terminado con una infraestructura de cibercrimen

En febrero de 2024, la ”Operación Cronos”, una acción conjunta de fuerzas de seguridad de todo el mundo liderada por la Agencia Nacional contra el Crimen británica y el FBI estadounidense, se hizo con el control de la infraestructura de ataques de la tristemente famosa organización de ransomware Lockbit, considerada el «grupo de cibercriminales más dañino del mundo». La comunidad de la ciberseguridad suspiró aliviada y muchos creyeron que se había puesto fin a una pesadilla. Sin embargo, la realidad demostró lo contrario: menos de una semana después, el grupo operador de ransomware como servicio volvía a estar operativo con un nuevo sitio web en el que aparecían cinco víctimas y contadores de cuenta atrás para la publicación de la información robada.

Esta reaparición no es un caso atípico. Estos grupos de amenazas despliegan cada vez más una infraestructura de ataque avanzada y copias de seguridad completas que les permiten volver a operar. Voy a poner tres ejemplos recientes que demuestran la resistencia de estos grupos a las acciones de las fuerzas del orden.

La capacidad de recuperación de Lockbit

Resulta irónico que, para hacerse con el control del sitio web de LockBit, las autoridades utilizaran CVE-2023-3824, una vulnerabilidad que afectaba a PHP y que reflejaba uno de los principales vectores de ataque utilizados por el grupo LockBit, más concretamente la explotación de vulnerabilidades. Según el autor de amenazas, «la negligencia y la irresponsabilidad personales» provocaron un retraso en la aplicación del parche e hicieron posible la toma del control. Sin embargo, la vuelta a la actividad de LockBit se vio facilitada por la disponibilidad de copias de seguridad, una buena práctica esencial para cualquier organización. Tras el desmantelamiento, LockBit confirmó la brecha, pero también afirmó que sólo habían perdido los servidores que ejecutaban PHP, mientras que sus sistemas de copia de seguridad sin PHP permanecían intactos.

Antes de su efímero cierre, LockBit era una de las principales amenazas para el sector financiero. Como cabría esperar, los ataques llevados a cabo a través del ransomware LockBit y sus variantes continuaron a lo largo de 2024, incluso después del golpe. Esta persistencia se debió en parte a otra complicación bastante común en el panorama de las amenazas: el código fuente del creador del malware ya había sido filtrado en línea por un desarrollador molesto, dando lugar a múltiples variantes que siguen asolando a empresas de todo el mundo, alimentadas por la continua explotación de vulnerabilidades.

La existencia de copias de seguridad indica que los atacantes construyeron una infraestructura con capacidad de recuperación y un plan de contingencia, anticipándose a la posibilidad de ser intervenidos. En el fondo, la ciberdelincuencia es un negocio, así que los autores de las amenazas adoptan las mejores prácticas que toda empresa debería seguir, construyendo infraestructuras robustas para garantizar la protección frente a interrupciones o sucesos perturbadores, como el desmantelamiento por parte de las fuerzas de seguridad. Este hecho nos sirve de advertencia, recordándonos que aunque las fuerzas del orden desmantelen una infraestructura delictiva, la operación puede no haber acabado para siempre.

La intervención contra BlackCat

Un segundo ejemplo de la resistencia de las infraestructuras maliciosas es un caso análogo relacionado con otra operación de ransomware. En diciembre de 2023, las fuerzas de seguridad lideradas por el FBI estadounidense -y en las que participaban cuerpos del Reino Unido, Dinamarca, Alemania, España y Australia- incautaron la infraestructura de BlackCat/ALPHV. Sin embargo, dos meses después, el grupo de ransomware reapareció inesperadamente y reivindicó la autoría de varios ataques de gran envergadura en los sectores financiero y sanitario.

Un interesante matiz de este regreso fue el ataque contra Change Healthcare, que se saldó con el pago por parte de la organización víctima de un rescate de 22 millones de dólares en Bitcoins. Dos días después del pago, surgieron acusaciones de que el responsable de la operación de ransomware había estafado a otros socios quitándoles su parte de la recompensa, y cuatro días después del pago (dos días después de las acusaciones), el FBI y otras fuerzas de seguridad parecían haber tomado de nuevo el control de la página de filtraciones. Sin embargo, las fuerzas de seguridad negaron cualquier implicación en este segundo cierre y este punto, junto con el hecho de que la página que apareció en el sitio de filtraciones tras el segundo aparente cierre parecía una copia de la original de la toma de control de diciembre de 2023, llevó a los expertos a especular que los actores de amenazas podrían haber ejecutado una estrategia de salida: contentos de abandonar el escenario con 22 millones de dólares en el bolsillo, rompiendo relaciones con sus socios y vendiendo potencialmente el código fuente del ransomware como servicio por 5 millones de dólares, una práctica común utilizada recientemente por el ransomware Knight 3.0. Estas pruebas sugieren que la aparición de variantes ampliará el ciclo de vida de este malware mucho más allá del fin de la operación original.

La forma en que parece haber terminado esta historia hace pensar que las organizaciones delictivas no sólo son resistentes y a menudo capaces de sobrevivir a los intentos de desarticulación de las fuerzas del orden, sino también que los implicados pueden decidir abandonar la escena voluntariamente. Pueden hacerlo porque creen que han alcanzado su objetivo lucrativo o porque consideran que las condiciones existentes ya no les son favorables. En el caso de BlackCat/ALPHV, se piensa que la inestabilidad del precio del Bitcoin, o incluso un posible cambio de orientación hacia otros objetivos, como Ucrania (dado que los autores de la amenaza son de origen ruso), pueden haber influido en su decisión de cerrar la operación.

Escapando de las fuerzas del orden

Los casos de reaparición de operaciones maliciosas tras los intentos de desmantelamiento por parte de las fuerzas de la ley no se limitan a las operaciones de ransomware. Un tercer ejemplo destacable es el desmantelamiento fugaz de la conocida red de bots Qakbot a través de la Operación Duck Hunt, llevada a cabo por las fuerzas de seguridad en 2023. Qakbot es una de las armas más flexibles para los actores de amenazas debido a su naturaleza modular, que le permite distribuir múltiples cargas útiles maliciosas, incluidas varias cepas de ransomware, lo que se traduce en cientos de millones de dólares en daños. Como era previsible, esta victoria fue de corta duración. Apenas dos meses después de la operación policial, los autores de la amenaza reacondicionaron rápidamente su infraestructura para distribuir nuevas cargas dañinas.

También se detectaron nuevas campañas de Qakbot, que incluían nuevas variantes que mejoraban el malware. Entre estas campañas, en octubre de 2023 se encontró una distribución al sector de la hostelería de herramientas de acceso remoto Cyclops y Remcos a través de documentos PDF maliciosos bajo la apariencia de falsas comunicaciones de la agencia tributaria norteamericana, además de un falso instalador de Windows en enero de 2024. Según Netskope Threat Labs, Qakbot fue una de las principales amenazas dirigidas al sector minorista entre marzo de 2023 y febrero de 2024, lo que demuestra la resistencia y flexibilidad de una infraestructura de ataque.

Permanecer alertas

La ciberdelincuencia es un gran negocio, y los ciberdelincuentes disponen de grandes medios para crear amenazas cada vez más sofisticadas y resistentes. Para combatir estos ataques sofisticados, las organizaciones deben adoptar una estrategia de seguridad integral que sea permanente, generalizada y resistente. Esto implica la implantación de defensas multicapa, una supervisión constante, la detección de amenazas en tiempo real y la realización de evaluaciones periódicas de la seguridad. Además, no estaría de más seguir el ejemplo y las lecciones aprendidas de estos actores de amenazas tan resistentes, fomentando una cultura de concienciación sobre la ciberseguridad, manteniendo los sistemas actualizados y contando con unos planes sólidos de respuesta ante incidentes y recuperación ante desastres. Es indispensable eliminar todos los puntos ciegos en materia de ciberseguridad, ya que incluso las vulnerabilidades menores pueden dar lugar a brechas importantes. Las organizaciones deben estar preparadas para defenderse contra todo tipo de amenazas y grupos de ataque.

Pedro Pablo Merino

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

Casi 6 de cada 10 CISOs afirma que su disposición al riesgo ha aumentado en los últimos cinco años

Actualidad, Security Breaches

El 76% de las empresas mejoran sus ciberdefensas para poder optar a un ciberseguro

Ciberseguros

CyberInsurance Day volvió a ser el epicentro del sector de la ciberseguridad y los seguros ante cerca de 200 asistentes

Cyber Insurance Day, Eventos

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

Casi 6 de cada 10 CISOs afirma que su disposición al riesgo ha aumentado en los últimos cinco años

Actualidad, Security Breaches

El 76% de las empresas mejoran sus ciberdefensas para poder optar a un ciberseguro

Ciberseguros

CyberInsurance Day volvió a ser el epicentro del sector de la ciberseguridad y los seguros ante cerca de 200 asistentes

Cyber Insurance Day, Eventos

La VI Edición de CISO Day volvió a reunir al ecosistema de profesionales de ciberseguridad

Actualidad, Eventos

Alejandro Las Heras, Consejero Delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid, inaugurará mañana Cyber Insurance Day

Actualidad, Ciberseguros, Eventos

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks