La firma de seguridad Kaspersky descubrió una versión para Linux del
ransomware RansomEXX.
RansomEXX es una variedad de ransomware relativamente nueva
que se detectó por primera vez a principios de este año en junio.
El ransomware se ha utilizado en ataques contra el
Departamento de Transporte de Texas, Konica Minolta, el contratista del
gobierno de EE. UU. Tyler Technologies, el sistema de transporte público de
Montreal y, más recientemente, contra el sistema judicial de Brasil (STJ).
RansomEXX es lo que los investigadores de seguridad llaman
un “cazador de caza mayor” o “ransomware operado por
humanos”. Estos dos términos se utilizan para describir grupos de
ransomware que cazan grandes objetivos en busca de grandes pagos, sabiendo que
algunas empresas o agencias gubernamentales no pueden permitirse permanecer
inactivos mientras recuperan sus sistemas.
Estos grupos criminales compran el acceso o violan las redes
ellos mismos, amplían el acceso a tantos sistemas como sea posible y luego
implementan manualmente su binario de ransomware como una carga útil final para
paralizar la mayor parte posible de la infraestructura del objetivo.
Pero durante el año pasado, ha habido un cambio de paradigma
sobre cómo operan estos grupos.
Muchas bandas de ransomware se han dado cuenta de que atacar
primero las estaciones de trabajo no es un negocio lucrativo, ya que las
empresas tenderán a cambiar la imagen de los sistemas afectados y seguir
adelante sin pagar rescates.
En los últimos meses, en muchos incidentes, algunas bandas
de ransomware no se han molestado en atacar las estaciones de trabajo y se han
dirigido a servidores cruciales dentro de la red de una empresa, sabiendo que
al eliminar estos sistemas primero, las empresas no podrían acceder a su
tesoros de datos centralizados, incluso si las estaciones de trabajo no se
vieron afectadas.
RansomEXX creo una versión para Linux de su ransomware que
antes solo afectaba a Windows, ya que muchas empresas ejecutan sistemas
internos en Linux y no siempre en Windows Server.
Una versión de Linux tiene mucho sentido desde la
perspectiva de un atacante; siempre buscando expandir y tocar tanta
infraestructura central como sea posible en su búsqueda para paralizar a las
empresas y exigir rescates más altos.
Lo que vemos en RansomEXX pronto puede convertirse en una
tendencia que defina la industria, y otros grandes grupos de ransomware también
lanzarán sus versiones de Linux en el futuro.
(adsbygoogle = window.adsbygoogle || []).push({});
Y esta tendencia parece haber comenzado. Según la firma de
ciberseguridad Emsisoft, además de RansomEXX, la banda de ransomware Mespinoza
(Pysa) también ha desarrollado recientemente una variante de Linux a partir de
su versión inicial de Windows.
Pero el ransomware de Linux tampoco es único. En los últimos
años, otras bandas de ransomware también han creado cepas de ransomware de
Linux, como el grupo Snatch. Sin embargo, esos grupos eran operaciones de poca
monta que dependían de campañas de spam para infectar a las víctimas, rara vez
tenían éxito y no participaban en intrusiones específicas como la generación
actual de grupos de ransomware que vemos hoy.
Emsisoft dice que las variantes de RansomEXX Linux que han
detectado se remontan a julio. Configurar sistemas para detectar variantes de
RansomEXX Linux no es una estrategia sólida debido a la forma en que operan los
equipos de ransomware de caza mayor. Cuando los atacantes implementan el
ransomware, ya poseen la mayor parte de la red de una empresa. La mejor
estrategia que pueden adoptar las empresas contra este tipo de intrusiones es
proteger los perímetros de la red aplicando parches de seguridad a los
dispositivos de puerta de enlace y asegurándose de que no estén mal
configurados con credenciales débiles o predeterminadas.
Los detalles técnicos sobre la variante de RansomEXX Linux están disponibles en el informe de Kaspersky.
