Kaspersky ha descubierto nuevos grupos de ransomware multi-plataforma como RedAlert y Monster, que han aprendido a adaptar su malware a diferentes sistemas operativos al mismo tiempo y, por lo tanto, a causar daños a más organizaciones. Sus expertos describieron exploits 1-day que pueden ser ejecutados por grupos de ransomware para conseguir sus objetivos financieros.

Los analistas de seguridad de Kaspersky han sido testigos del aumento del uso de los servicios multiplataforma por parte de los grupos de ransomware, que utilizaban lenguajes multiplataforma Rust o Golang, como Luna o BlackCat. Sin embargo, esta vez los grupos de ransomware denunciados despliegan un malware que no está escrito en un lenguaje multiplataforma, pero que puede dirigirse a varios sistemas operativos simultáneamente.

Uno de los grupos, RedAlert, emplea malware escrito en C plano, como se detectó en la muestra de Linux. Sin embargo, el malware desarrollado por RedAlert soporta explícitamente entornos ESXi. Además, el sitio web de RedAlert onion ofrece un descifrador para su descarga .

Otro aspecto que diferencia a RedAlert de otros grupos de ransomware es que sólo aceptan pagos en la criptomoneda Monero, lo que hace que el dinero sea más difícil de rastrear. Monero no se acepta en todos los países ni en todas las casas de cambio, por lo que las víctimas podrían tener problemas para pagar el rescate.

Otro grupo de ransomware detectado en julio de 2022 es Monster, que aplica Delphi, un lenguaje de programación que, sin embargo, se expande en diferentes sistemas. Lo que hace especialmente peculiar a este grupo es que cuenta con una interfaz gráfica de usuario (GUI), un componente que nunca antes había sido implementado por grupos de ransomware. Además, los ciberdelincuentes ejecutan los ataques de ransomware a través de la línea de comandos de forma automatizada durante un ataque dirigido. Según la muestra extraída por los expertos de Kaspersky, los autores del ransomware Monster incluyeron la GUI como un parámetro opcional de la línea de comandos.

El informe emitido por Kaspersky también cubre los llamados exploits 1-day utilizados para atacar en Windows 7-11. El exploit de 1 día suele dirigirse a un aprovechamiento de una vulnerabilidad ya parcheada, y siempre plantea una cuestión de política de parcheo dentro de la organización afectada. Así, la vulnerabilidad CVE-2022-24521 que permite a un atacante obtener privilegios del sistema en el dispositivo infectado. Los atacantes tardaron dos semanas en desarrollar los dos exploits, tras haberse revelado la vulnerabilidad, en abril de 2022.

Lo más interesante de estos exploits es que son compatibles con diversas versiones de Windows. Esto suele indicar que los atacantes se dirigen a organizaciones comerciales. Además, ambos exploits comparten muchos mensajes de depuración. Uno de los casos detectados incluye ataques a una cadena de tiendas en la región de Asia Pacífico.

«Nos hemos acostumbrado a que los grupos de ransomware desplieguen malware escrito en lenguaje multiplataforma. Sin embargo, en estos días los ciberdelincuentes han aprendido a ajustar sus códigos maliciosos escritos en lenguajes de programación sencillos para realizar ataques conjuntos, haciendo que los especialistas en seguridad desarrollen formas de detectar y prevenir los intentos de ransomware. Además, queremos llamar la atención sobre la importancia de revisar y actualizar constantemente las políticas de parches que aplican las empresas», comenta Jornt van der Wiel, analista senior de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.

Para protegerse como usuario y a las empresas de los ataques de ransomware, Kaspersky recomienda:

• No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras.
  Instalar lo antes posible los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como puertas de enlace en su red.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades
• Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Se debe prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
• Hacer copias de seguridad de los datos con regularidad. Se debe poder acceder rápidamente a ellos en caso de emergencia cuando los necesite.
• Utilizar soluciones que ayudan a identificar y detener el ataque en las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
• Para proteger el entorno corporativo, es básico educar a los empleados. Los cursos de formación dedicados pueden ayudar.
• Utilizar una solución de seguridad para endpoints fiable, que cuenten con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir las acciones maliciosas, además de mecanismos de autodefensa que pueden impedir su eliminación por parte de los ciberdelincuentes.
• Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs reales utilizadas por los actores de amenazas.