Organizaciones rusas están siendo atacadas activamente por bandas de ransomware de menor nivel

A pesar de que las empresas estadounidenses y europeas reciben la mayor parte de los ataques de ransomware lanzados desde territorio ruso, no son las únicas. Las empresas rusas no se libran de tener que lidiar con problemas propios de cifrado de archivos y doble extorsión.

Sin embargo, los actores que causan problemas a las empresas rusas y de la CEI en general no son REvil, LockBit, DarkSide. Tampoco es ninguno de los grupos más notorios que lanzan ataques de alto perfil contra objetivos de infraestructura crítica.

Como explica Kaspersky en un resumen detallado de los ciberataques en la primera mitad de 2021, la CEI (Comunidad de Estados Independientes) también es el objetivo de un vívido ecosistema ciberdelincuente. Estos ataques están dirigidos a empresas rusas cada mes, y la mayoría de ellos no se denuncian.

Los grupos que componen esta subcategoría ampliamente ignorada de actores de ransomware suelen ser menos sofisticados. Estos grupos utilizan predominantemente cepas más antiguas o malware filtrado, y establecen intrusiones por su cuenta en lugar de comprar acceso a los objetivos. 

Las familias de ransomware más notables que se desplegaron este año contra objetivos rusos son las siguientes: 

• BigBobRoss
• Crysis / Dharma
• Fobos / Eking
• Cryakl / CryLock
• CryptConsole
• Fonix / XINOF
• Limbozar / VoidCrypt
• Thanos / Hakbit
• XMRLocker 

Viejos pero todavía activos

Las que se destacan como las variedades históricamente más exitosas son Dharma y Phobos. 

Dharma apareció por primera vez en el entorno hace cinco años con el nombre de Crysis. Y, a pesar de su antigüedad, todavía presenta uno de los esquemas de cifrado más fuertes y confiables. Los actores de Dharma generalmente obtienen acceso RDP no autorizado después de obtener credenciales por fuerza bruta e implementan el malware manualmente. 

Phobos salió en 2017 y alcanzó su punto culminante a principios de 2020. También en este caso, el principal punto de entrada para los actores es el acceso no autorizado a RDP. Es un malware de C/C ++ que tiene similitudes técnicas contextuales con la cepa Dharma, pero no tiene una relación subyacente. 

Otro ejemplo digno de mención es CryLock, un veterano de una cepa que ha estado circulando desde 2014. Las muestras que Kaspersky analizó este año son versiones modernas que fueron reescritas por completo desde cero en Delphi. 

Los casos de ataques oportunistas que utilizan cepas de ransomware filtradas se refieren principalmente a Fonix, que finalizó su programa RaaS en enero de este año. Los demás todavía están operativos, pero todos se consideran operaciones de nivel inferior en el mundo del ciberdelito. 

Aunque estos programas RaaS van y vienen, no carecen de potencia de ataque. Kaspersky advierte que algunas de estas cepas aún están en desarrollo, y los autores están trabajando para hacer que sus cepas sean más potentes, por lo que ninguna debe ignorarse.

Las empresas rusas pueden prevenir muchas de estas amenazas simplemente bloqueando el acceso RDP. Asimismo, utilizando contraseñas seguras para las cuentas de dominio que se cambian regularmente y accediendo a las redes corporativas a través de VPN.