A diferencia de lo que se creería, estos grupos de ransomware no están automatizados, como aquellos manejados por bots y, en cambio, se manejan manualmente.
La empresa advirtió, luego de la realización de una encuesta, que algunos de estos ransomware están realmente preparados y “muestran un alto conocimiento con respecto a la administración de sistemas y cuáles son las configuraciones erradas más comunes en las redes” con respecto a la seguridad en línea.
En general, advierten que se trata de criminales interesados en robar datos de credenciales e identidades.
A esto, la empresa agregó que, según sus investigaciones, “estas campañas parecen no estar preocupados por su privacidad, no se toman la molestia de cubrir sus ataques, y han demostrado que pueden operar sin restricciones en las redes”.
Variantes
En su advertencia, Microsoft señaló las variantes de ransomware REvil, Sam Sam, Ryuk, Bitpaymer, Dopplepaymer, entre otras, y destacó, entre otras cosas, que la variante REvil demanda un rescate promedio de $250,000, por lo que es conocido como un ransomware de gran juego, dados los objetivos que atacan y la cantidad de dinero que exigen para recuperar la información.
Plan de Monitoreo
La empresa también ha mantenido un monitoreo al malware Parinacota, que hackea dispositivos para instalar minadores de criptomonedas y enviar Spam.
Su nombre se debe a que Microsoft, por los últimos 18 meses, ha estado utilizando nombres de volcanes para identificar los grupos de malware.
El grupo utiliza ataques de fuerza bruta para ingresar a dispositivos vulnerables que encuentran en la red.
Según el equipo de inteligencia de Protección contra Amenazas de Microsoft, estas campañas, una vez que ingresan a los dispositivos, prueban la capacidad de procesamiento y también la conectividad del equipo para determinar si este cumple con los requisitos necesarios para utilizarla para enviar más ataques de malware a otros equipos.
Lo anterior les permite a los cibercriminales tener un acceso a otra plataforma adicional que tiene menos probabilidad de ser rastreada y bloqueada.
De hecho, una de las publicaciones en el blog del equipo de inteligencia señala que “se ha observado que el grupo dejó sus herramientas funcionando en máquinas comprometidas durante meses”.
Por cada máquina que se encuentra bajo el ataque, el equipo gana entre 0.5 y 2 BTC (Bitcoins), esto equivaldría a una suma de entre $4,500 y $18,500.
Cabe destacar que en estos ciber-ataques, los criminales utilizan credenciales robadas para obtener permisos de administrador, dándoles la oportunidad de descartar los servicios de rastreo, y finalmente, instalan un documento comprimido con todas las herramientas necesarias para robar más credenciales y filtrarlas.
Conclusión
Si bien muchas organizaciones logran limpiar sus equipos de este tipo de infecciones digitales, es común que las máquinas que habían estado comprometidas queden vulnerables a más ciber-ataques.
Microsoft recomienda encarecidamente la habilitación de las herramientas de seguridad disponibles en Windows, como Windows Defender ATP, entre otras medidas.