Nueva campaña de ransomware encripta archivos aún si se paga el rescate

Los ciberdelincuentes se centran casi exclusivamente en el ransomware para ganar dinero
 

Casi 50 servidores de Linux y Windows se han visto afectados por estos ataques

Los ataques de ransomware se volvieron terriblemente populares de un momento a otro. Noticias de ataques como WannaCryPetya y NotPetya precedieron a un aumento sustancial en el número de pequeñas campañas usando técnicas similares para extorsionar a usuarios de Internet desprevenidos. Recientemente, investigadores en hacking ético han revelado la existencia de un nuevo malware que continúa con el legado de NotPetya, combinando varios tipos de amenazas en un solo ataque.

Este equipo de hacking ético, apodado Unidad 42, nombró a este nuevo malware Xbash. Se dice que combina el uso de una botnet, ransomware y minería de criptomoneda, y se dirige a servidores que ejecutan Linux o Windows. Los investigadores culpan a una entidad llamada Iron Group por la creación de Xbash, pues ya se les ha relacionado anteriormente con otras campañas de ransomware. Se cree que el malware fue visto por primera vez en mayo de 2018.

Como informan los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, el ransomware es una forma de malware que encripta los archivos en el sistema de la víctima, exigiendo un rescate a cambio de su restauración. Estas tarifas generalmente se pagan en Bitcoin, para que la transacción sea difícil de rastrear, para que posteriormente el atacante proporcione a la víctima la forma de restaurar sus archivos.

El problema es que no siempre se obtiene un resultado satisfactorio. Unidad 42 dijo que Xbash, al igual que NotPetya, en realidad no cuentan con mecanismos para la restauración de archivos. Aún así se exige el rescate, y 48 víctimas han pagado aproximadamente 6 mil dólares en Bitcoin a los atacantes hasta el momento, pero sus archivos permanecieron encriptados. Esto ha llevado a pensar que el verdadero objetivo del ataque Xbash es la destrucción de archivos.

Unidad 42 mencionó también que las funciones de Xbash varían según el sistema operativo en cuestión. Los dispositivos Linux están sujetos a las características de ransomware, y también se utilizan para crear las botnets del malware. Los dispositivos de Windows, por otro lado, se usan para la minería de criptomoneda y la auto propagación del ataque. Atacar a ambos sistemas operativos, los operadores de Xbash se aseguran de generar tanto disturbio como sea posible, sin importar el sistema operativo que se esté atacando.

Xbash también tiene una función que le permitiría examinar y comprometer la intranet de una organización. Esta función no se encuentra habilitada, pero Unidad 42 advirtió que, de ser así, esta funcionalidad de intranet “podría hacer que Xbash sea aún más devastador de lo que es ahora”. Las redes internas a menudo presentan menos seguridad que las externas, y comprometer esas redes podría permitir a Xbash interferir con los servicios vitales de una organización.

Cuatro versiones de Xbash han sido descubiertas hasta el momento; los investigadores comentan que es muy posible que la campaña se mantenga activa a la fecha, pues las versiones muestran que Xbash sigue en desarrollo activo. Ese desarrollo podría utilizarse para introducir nuevas funcionalidades, habilitar la función de orientación de intranet ya presente en el malware o ayudar a Xbash a evadir mejor la detección. El desarrollo activo significa que la amenaza del malware evoluciona constantemente, por lo que se recomienda a las organizaciones mantener actualizadas sus defensas, así como realizar respaldos de información sensible ante el peor escenario posible.