Robar tus datos para que los vea cualquiera: los ciberataques van a darte donde más te duele
El grupo BlackCat ha subido un nuevo peldaño en los ataques de 'ransomware'. Ya no solo roba información y la publica en bruto, sino que lo hace mediante una plataforma mucho más accesible para todos, multiplicando el daño
'Hackers' navegando en la red. (Getty/Christian Petersen)
Por
Mario Escribano
La noche del 22 al 23 de julio los ordenadores de Encevo, una de las principales empresas energéticas de Luxemburgo, dejaron de funcionar. Nadie sabía qué pasaba hasta que se dieron cuenta de que no había nada roto, sino que simplemente alguien había cifrado el acceso. Acababan de ser secuestrados por el grupo de 'ransomware' ALPHV, que puso un precio —se desconoce cuál— para que volvieran a la normalidad. Ellos se negaron a pagar. En estos casos, la consecuencia habitual es que los atacantes publiquen la información en bruto en algún portal de la 'deep web'. Esta vez fue distinto. Para asegurarse de que hacían daño de verdad, prepararon un buscador y una sencilla interfaz que permitía encontrar fácilmente cualquier información. Fue así como los 100 gigabytes sustraídos, entre los que había informes internos y correos electrónicos, se hicieron mucho más peligrosos.
Se trata de un nuevo peldaño en este tipo de ciberataques, que siempre se han basado en el chantaje, pero se han vuelto cada vez más vengativos. En un inicio, una ofensiva de 'ransomware' consistía en bloquear una serie de terminales y exigir un rescate para recuperar su funcionamiento. Había quien prefería no pagar y tratar de solventar la situación por su cuenta, así que dieron un paso más y empezaron a colgar en sus webs lo que robaban. El problema es que eso dio pie a publicar una cantidad ingente de información en bruto, algo que no siempre supone un gran perjuicio: a veces no son los suficientemente dañinos o, simplemente, no hay quien se pare a analizarlos para ver si hay algo jugoso entre tantos bytes.
Esto último es lo que ha ocurrido con Distributed Denial of Secrets (DDoSecrets), una suerte de sucesor de Wikileaks que está revelando toneladas de información sobre el Kremlin, pero que muchos cuestionan porque no está claro que haya alguien que indague en ese mar de datos para revelar algún escándalo. Ahora ALPHV, más conocido como BlackCat, está intentando cambiar las reglas del juego.
Los pioneros de los ciberataques que vienen
Esta organización ha implementado una herramienta en su web para buscar de forma sencilla entre todo el material robado. De este modo, no solo consiguen multiplicar el daño que hacen a las compañías atacadas, sino que también les sirve para aumentar su influencia y reputación. "Para las víctimas de este grupo de 'ransomware' supone un serio problema, puesto que facilita encontrar la información robada a otros delincuentes que quieran utilizarla en su propio beneficio y añade presión que beneficia a los criminales en sus negociaciones con las víctimas", explica Josep Albors, director de Investigación de ESET España. "De momento, BlackCat es la organización más destacada que ha hecho público una funcionalidad así, pero no dudamos que será imitado por otros grupos".
Para este especialista, no es la única novedad relevante que han aportado. "BlackCat ha utilizado del lenguaje de propagación Rust para desarrollar sus ataques", subraya. De hecho, es la primera vez que se tiene constancia de que Rust —uno de los lenguajes más aclamados de los últimos años— se emplea para un cometido así, y BlackCat lo ha hecho desarrollando el código desde cero. Una particularidad que "les permite afectar indistintamente a sistemas Windows y Linux, a la vez que complica el análisis a los investigadores", comenta Albors.
Intentan acceder a los datos de un libro electrónico y alterarlos. (Reuters/Steve Marcus)
ALPHV se engloba dentro de lo que se conoce como 'ransomware-as-a-service' (RAAS), de modo que alquila su 'malware' a una serie de afiliados, a los que les cobra una comisión de lo que obtengan. Es una forma habitual de trabajar de los ciberdelincuentes, que operan como una empresa convencional, tal y como se pudo ver tras la filtración de los secretos grupo Conti, uno de los más importantes de este nicho. La diferencia es que en BlackCat pagan mucho mejor. Según EmsiSoft, estos socios ganan el 80 % de los rescates inferiores a 1,5 millones de dólares y el 85 % cuando alcanzan los 3 millones. Si superan esa cantidad, se llevan el 90%.
"Sus afiliados utilizan diferentes vectores de ataque y puntos de entrada a las redes corporativas, sin limitarse a uno en concreto", enfatiza Albores. Así, la intrusión se puede llevar a cabo por varios métodos, como la suplantación de identidad ('phishing'), la explotación de vulnerabilidades o, directamente, la compra de credenciales robadas en la 'deep web'.
Después, se comunican con las víctimas mediante una nota en la que se indican los datos robados y la amenaza de publicarlos si no se paga el precio indicado. Para ello, se añade un enlace en la que pueden realizar el pago mediante criptomonedas. Por si fuera poco, si la víctima se niega a desembolsar esa suma, hay veces que también amenaza con realizar ataques de denegación de servicio (DDoS). Eso sí, no todos los clientes de BlackCat tienen acceso a esta parte del servicio, sino únicamente los afiliados que han generado más de 1,5 millones de dólares con estos rescates.
"Solo trabajamos con socios de habla rusa"
"Hemos creado un producto realmente nuevo, con una nueva apariencia y un enfoque que cumple con los requisitos modernos tanto para una solución RAAS como para un 'software' comercial de primera clase", explicaba uno de los integrantes del grupo en una entrevista con 'The Record', medio especializado en ciberseguridad. Ahí reconoció que trabajan "únicamente con socios de habla rusa", pero se definió como "absolutamente apolítico" cuando le preguntaron por su posición por la lucha geopolítica entre Estados Unidos y Rusia. Eso no quita que el grupo ponga límites para sus socios, a los que tiene terminantemente prohibido atacar a los países de la Comunidad de Estados Independientes (CEI), que incluye aAzerbaiyán, Armenia, Bielorrusia, Kazajistán, Kirguistán,Moldavia, Rusia, Tayikistán, Turkmenistán, Uzbekistán y Ucrania.
La primera vez que se detectó una ofensiva de BlackCat fue en noviembre de 2021, pero muchos sospechan que su origen está en el grupo BlackMatter —que a su vez venía de Darkside— y ambos fueron descifrados por la firma de ciberseguridad Emsisoft, de Nueva Zelanda. Desde entonces, han atacado a decenas de empresas en Europa y Estados Unidos, centrándose especialmente en el sector energético. Así, también han atacado a la suiza Swissport (en total, les robó 1,6 TB de información) o la alemana Oiltanking GmbH, a la que bloqueó los sistemas automatizados de carga y descarga de tanques de combustible.
En el caso de Encevo —que también afectó a su filial Creos Loxembourg—, el daño supuso únicamente que sus ordenadores y páginas web quedaran inaccesibles, pero es difícil garantizar que estos casos no vayan a mayores, aunque ni siquiera sea esa la intención. Tal y como ha explicado uno de los analistas de Emsisoft a Bloomberg, ese es uno de los puntos más preocupantes, ya que ni el propio atacante puede tener claras las consecuencias de su ofensiva, que podría suponer la interrupción de suministros como el agua o la luz, como ya ocurrió en mayo de 2021, cuando DarkSide interrumpió el servicio de Colonial Pipeline, una de las mayores redes de oleoductos de gasolina de Estados Unidos. Y eso que, entonces, las consecuencias de no asumir el chantaje parecían llegar tan lejos.
La noche del 22 al 23 de julio los ordenadores de Encevo, una de las principales empresas energéticas de Luxemburgo, dejaron de funcionar. Nadie sabía qué pasaba hasta que se dieron cuenta de que no había nada roto, sino que simplemente alguien había cifrado el acceso. Acababan de ser secuestrados por el grupo de 'ransomware' ALPHV, que puso un precio —se desconoce cuál— para que volvieran a la normalidad. Ellos se negaron a pagar. En estos casos, la consecuencia habitual es que los atacantes publiquen la información en bruto en algún portal de la 'deep web'. Esta vez fue distinto. Para asegurarse de que hacían daño de verdad, prepararon un buscador y una sencilla interfaz que permitía encontrar fácilmente cualquier información. Fue así como los 100 gigabytes sustraídos, entre los que había informes internos y correos electrónicos, se hicieron mucho más peligrosos.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F042%2F6a8%2Fbda%2F0426a8bdab30c49d29065acdb35673e0.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F427%2F67c%2Fc01%2F42767cc0135025eecc57ed401e9338f9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F427%2F67c%2Fc01%2F42767cc0135025eecc57ed401e9338f9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F40c%2F4f7%2Fcef%2F40c4f7cefc005316e7c6e1074110099f.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5c4%2Fdfd%2Fc40%2F5c4dfdc40a0f894170239076670524f5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F475%2F538%2Fe68%2F475538e68d005bc24086b4e630ca91dd.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcbd%2F2b3%2Fd2b%2Fcbd2b3d2b393bb7c1a21fcecceea148b.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F042%2F6a8%2Fbda%2F0426a8bdab30c49d29065acdb35673e0.jpg)