Una empresa de seguridad cibernética del Reino Unido reveló nuevos detalles sobre el modus operandi de el nuevo grupo de ransomware, Ragnar Locker para atacar a empresas con ransomware.
Antilavadodedinero / Cointelegraph.com
Un nuevo estudio advierte sobre un nuevo método de ataque de ransomware que ejecuta una máquina virtual (como VirtualBox) en las computadoras objetivo para infectarlas. El ataque se puede dar más allá del alcance del software antivirus local de la computadora.
Según la compañía de ciberseguridad con sede en el Reino Unido, Sophos, el grupo de ransomware conocido como Ragnar Locker es bastante selectivo al elegir a sus víctimas. Los objetivos de Ragnar tienden a ser empresas en lugar de usuarios individuales.
Casi 1.850 BTC de rescate exigidos en un solo ataque
Ragnar Locker le pide a las víctimas grandes cantidades de dinero para liberar sus archivos. También amenaza con liberar datos confidenciales si los usuarios no pagan el rescate.
Sophos dio el ejemplo de la red de Energias de Portugal, que robó 10 TB de datos confidenciales y exigió el pago de casi 1.850 Bitcoin (BTC), aproximadamente 11 millones de dólares (al momento de esta publicación) para no filtrar los datos.
El modus operandi del ransomware es aprovechar las vulnerabilidades de las aplicaciones de escritorio remoto en Windows, donde obtienen acceso de administrador a la computadora.
Con los permisos necesarios otorgados, los atacantes configuran la máquina virtual para interactuar con los archivos. Luego proceden a arrancar la máquina virtual, ejecutando una versión simplificada de Windows XP llamada «Micro XP v0.82».
Las tácticas de ransomware se están volviendo más «malvadas y extremas»
Hablando con Cointelegraph, Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, proporcionó más detalles sobre Ragnar Locker:
“Recientemente se ha observado que los operadores lanzan el ransomware desde una máquina virtual para evitar ser detectados por protocolos de seguridad. Al igual que otros grupos de ransomware, Ragnar Locker roba datos y utiliza la amenaza de su lanzamiento como palanca adicional para extorsionar el pago. Si la empresa no paga, los datos robados se publican en el sitio Tor del grupo «.
Callow afirma que las tácticas implementadas por los grupos de ransomware se están volviendo cada vez más «malvadas y extremas», considerando que otros grupos de ransomware ahora amenazan con vender los datos a los competidores de la víctima o usarlos para atacar a sus clientes y socios comerciales.
El especialista en amenazas de Emsisoft agrega lo siguiente:
“Las empresas en esta situación no tienen buenas opciones disponibles para ellos. Incluso si se paga el rescate, simplemente tienen una falsa promesa hecha por un actor de mala fe de que los datos robados se eliminarán y no se utilizarán indebidamente «.
Recientes ataques de ransomware
El 10 de mayo, Cointelegraph informó sobre un estudio realizado por el Grupo IB que reveló otro tipo de ransomware que utiliza troyanos bancarios para atacar a gobiernos y empresas, levantando las banderas rojas entre la comunidad de ciberseguridad y el FBI.
Una pandilla de ransomware llamada REvil también amenazó recientemente con revelar casi 1TB de secretos legales privados de las estrellas de música y cine más grandes del mundo, como Lady Gaga, Elton John, Robert DeNiro, Madonna, entre otros.