En febrero de 2024, la Operación Kronos, una coalición de organismos internacionales encargados de hacer cumplir la ley encabezada por la Agencia Nacional contra el Crimen del Reino Unido y el FBI de EE. UU., tomó el control de la infraestructura de ataque del famoso Lockbit. Secuestro de datos La pandilla, considerada el “grupo cibernético más dañino” del mundo. El alivio ha resonado en toda la comunidad de seguridad de la información, y muchos creen que esto marca el fin de la pesadilla actual. Sin embargo, la realidad resultó diferente: menos de una semana después, el operador de ransomware como servicio volvió a estar en línea con un nuevo sitio de filtración, enumerando cinco víctimas y contando los temporizadores para difundir la información robada.
Esta emisión no es inusual. Estos grupos de amenazas están implementando cada vez más una infraestructura de ataque avanzada y completa. Copias de seguridad Permitiéndoles regresar a las operaciones. Presentaré tres ejemplos recientes que demuestran la resiliencia de estos grupos frente a las intervenciones policiales.
Director de Ciberinteligencia, Netskope.
Flexibilidad de bloqueo
Irónicamente, para apoderarse del sitio web LockBit, las fuerzas del orden explotaron CVE-2023-3824, una vulnerabilidad que afecta a PHP y que refleja uno de los principales vectores de ataque utilizados por el grupo LockBit, específicamente explotando vulnerabilidades. Según el actor de la amenaza, “negligencia personal e irresponsabilidad” retrasaron la aplicación del parche e hicieron posible la adquisición. Sin embargo, el retorno inmediato de LockBit se ve facilitado por la disponibilidad de copias de seguridad, una mejor práctica esencial para cualquier organización. Después de la eliminación, LockBit confirmó el hack, pero también afirmó haber perdido sólo servidores que ejecutaban PHP, mientras que sus sistemas de respaldo sin PHP permanecieron intactos.
Antes de la breve caída, LockBit era una de las principales amenazas para el sector financiero. Como era de esperar, los ataques realizados a través del ransomware LockBit y sus variantes continuarán durante 2024, incluso después de la adquisición. Esta persistencia se debe en parte a otra complejidad que es muy común en el panorama de amenazas: el código fuente de un programa. malware Un desarrollador enojado ya filtró en línea la herramienta Builder, lo que dio lugar a varias variantes que continúan infectando empresas en todo el mundo, impulsadas por la explotación continua de vulnerabilidades.
La presencia de copias de seguridad indica que los atacantes construyeron una infraestructura resistente con un plan de contingencia, anticipando la posibilidad de que fuera tomada. El ciberdelito es, en esencia, un negocio, por lo que los actores de amenazas están adoptando las mejores prácticas que toda organización debería seguir, construyendo infraestructuras sólidas para garantizar la protección contra cortes de energía o eventos disruptivos, como derribos policiales. Esto sirve como una importante llamada de atención, recordándonos que incluso si los organismos encargados de hacer cumplir la ley desmantelan la infraestructura criminal, es posible que el proceso no termine para siempre.
El gato negro sale
La segunda demostración de la resistencia de la infraestructura maliciosa es un evento similar que involucra una operación de ransomware diferente. En diciembre de 2023, las fuerzas del orden lideradas por el FBI de EE. UU., que incluía agencias del Reino Unido, Dinamarca, Alemania, España y Australia, tomaron el control de la infraestructura BlackCat/ALPHV. Sin embargo, dos meses después, el grupo de ransomware resurgió inesperadamente y se atribuyó la responsabilidad de varios ataques de alto perfil en los sectores financiero y sanitario.
Un desarrollo interesante en este regreso es el ataque a Change Healthcare, que terminó con el pago de un rescate de 22 millones de dólares en Bitcoin por parte de la organización víctima. Dos días después de que se realizó el pago, surgieron acusaciones de que la operación de ransomware había engañado a otros afiliados para quitarles su parte de la recompensa, y cuatro días después del pago (dos días después de las acusaciones), el FBI y otras agencias policiales parecían haber engañó a otros afiliados para quitarles su parte de la recompensa. Tome el sitio de la fuga nuevamente.
Sin embargo, las fuerzas del orden negaron cualquier participación en este segundo cierre y este aspecto, junto con el hecho de que la página que apareció en el sitio de filtración después del aparente segundo cierre parece una copia de la página original de la toma de control en diciembre de 2023, como dirigidos por expertos. especular que los actores de la amenaza pueden haber implementado una estrategia de salida: felices de abandonar el escenario con 22 millones de dólares en sus bolsillos, cortando lazos con sus afiliados y potencialmente vendiendo el código fuente del ransomware como un servicio por 5 millones de dólares, una práctica común que ha Recientemente ha sido adoptado por el ransomware Knight 3.0. Esta evidencia sugiere que la aparición de variantes extenderá el ciclo de vida de este malware más allá de detener el proceso original.
La forma en que terminó esta historia sugiere que las operaciones criminales organizadas no sólo son resilientes y a menudo capaces de sobrevivir a los esfuerzos de desmantelamiento por parte de las agencias encargadas de hacer cumplir la ley, sino también que los actores de amenazas pueden decidir abandonar la escena voluntariamente. Pueden hacerlo porque creen que han logrado sus objetivos rentables o porque ven que las condiciones del mercado ya no son favorables. En el caso de BlackCat/ALPHV, se cree que la volatilidad en el precio de Bitcoin, o incluso un posible cambio de enfoque hacia otros objetivos, como Ucrania (dado que los actores de la amenaza son de origen ruso) pueden haber influido en su decisión. Para detener el proceso.
Evadir la aplicación de la ley
El regreso de procesos maliciosos después de los intentos de cierre por parte de las fuerzas del orden no se limita a las operaciones de ransomware. Un tercer gran ejemplo es la breve eliminación de la famosa botnet Qakbot mediante la Operación Duck Hunt, llevada a cabo por el FBI y sus socios en 2023. Qakbot es una de las armas más flexibles para los actores de amenazas debido a su naturaleza modular, que permite que lo haga. Distribuir múltiples cargas útiles maliciosas, incluidas diferentes variedades de ransomware, lo que genera daños por cientos de millones de dólares. Como era de esperar, esta aparente victoria no duró mucho. Apenas dos meses después de la operación de aplicación de la ley, los actores de amenazas rápidamente reequiparon su infraestructura maliciosa para distribuir cargas útiles adicionales.
Se han descubierto más campañas de Qakbot, que presentan nuevas variantes con mejoras del malware. Estas campañas incluyeron la distribución de las herramientas de acceso remoto Cyclops y Remcos en octubre de 2023 a través de documentos PDF maliciosos a la industria hotelera bajo la apariencia de comunicaciones falsas del IRS, así como un instalador de Windows falso en enero de 2024. Según Netskope Threat Labs, Qakbot fue uno de de estas campañas. Principales amenazas dirigidas al sector minorista entre marzo de 2023 y febrero de 2024, lo que demuestra la resistencia y resistencia de la infraestructura de ataques.
Mantente alerta
El cibercrimen se ha convertido ahora en un gran negocio, y los atacantes cuentan con vastos recursos para crear amenazas más generalizadas y resilientes. Para enfrentar estos ataques sofisticados, las organizaciones deben adoptar una estrategia de seguridad integral que sea persistente, generalizada y resiliente. Esto incluye la implementación de defensas de múltiples capas, monitoreo continuo, detección de amenazas en tiempo real y evaluaciones de seguridad periódicas.
Además, sería prudente seguir el ejemplo y las lecciones de estos actores de amenazas resilientes, fomentar una cultura de concienciación sobre la ciberseguridad, mantener sistemas actualizados y desarrollar planes sólidos de respuesta a incidentes y recuperación ante desastres. Eliminar todos los puntos ciegos de la ciberseguridad es crucial, ya que incluso las vulnerabilidades menores pueden provocar infracciones importantes. Las organizaciones deben estar preparadas para defenderse de todo tipo de amenazas y grupos de ataque.
Mostramos el mejor software antivirus en la nube.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro