Introducción
Los ciberdelincuentes especializados en ransomware no siempre lo crean por sí mismos. Tienen muchas otras formas de conseguir muestras de ransomware: comprarlas en la dark web, afiliarse a otros grupos o encontrar una variante (filtrada) de ransomware. Hacerlo no requiere un esfuerzo extraordinario, ya que el código fuente se filtra o se publica con frecuencia. Con un conjunto de herramientas estándar y una muestra de ransomware recién creada (y a veces ligeramente alterada), se pueden buscar víctimas y propagar las actividades maliciosas.
En los últimos meses, hemos publicado varios informes privados que detallan exactamente este fenómeno. A continuación encontrará algunos extractos de los mismos. Para obtener más información sobre nuestro servicio de denuncia de crimeware, escríbanos a crimewareintel@kaspersky.com.
SEXi
En abril de este año, IxMetro fue víctima de un ataque de ransomware en el que se utilizó una nueva variante denominada SEXi. Como su nombre lo sugiere, el grupo se centra en las aplicaciones ESXi. En los casos que investigamos, todas las víctimas ejecutaban versiones no compatibles de ESXi, aunque no pudimos determinar el vector de infección inicial.
El grupo despliega uno de los dos tipos de variantes de ransomware en función de la plataforma objetivo: Windows o Linux. Ambas muestras se basan en muestras filtradas de ransomware, a saber: Babuk para la versión Linux, y Lockbit para la versión Windows. Es la primera vez que observamos que un grupo utiliza diferentes variantes de ransomware filtradas para las plataformas objetivo.
Otra cosa que diferencia a este grupo de los demás es su método de contacto. Los atacantes suelen dejar una nota con una dirección de correo electrónico o una URL de un sitio de filtraciones, pero en este caso, la nota contenía un id. de usuario asociado a la aplicación de mensajería Session. El id. pertenece a los atacantes, y lo habían usado en varios ataques de ransomware. Esto significa que los atacantes no eran muy profesionales y que no tenían un sitio de filtración TOR.
Key Group
Si bien el grupo SEXi ha empleado variantes de ransomware filtradas de dos familias de malware, otros grupos han llevado esta técnica a un nivel completamente diferente. Por ejemplo, Key Group, también conocido como keygroup777, ha utilizado no menos de ocho familias de ransomware diferentes a lo largo de su relativamente corta historia (desde abril de 2022); consulte la imagen a continuación.
Pudimos vincular diferentes variantes a Key Group gracias a sus notas de rescate. En poco más de dos años que el grupo ha estado activo, han hecho leves ajustes a sus TTP con cada nueva variante de ransomware. Por ejemplo, siempre usaban el registro de Windows como mecanismo de persistencia, pero la implementación exacta difería según la familia. La mayoría de las veces, se usaba la ejecución automática, pero también los hemos visto usando la carpeta de inicio.
Por ejemplo, UX-Cryptor se agregaba al registro como se muestra a continuación:
1 2 3 4 5 6 7 8 9 |
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run "WindowsInstaller" = "$selfpath -startup" "MSEdgeUpdateX" = "$selfpath" HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce "System3264Wow" = "$selfpath --init" "OneDrive10293" = "$selfpath /setup" "WINDOWS" = "$selfpath --wininit" |
Mientras que la variante de ransomware Chaos se copiaba a $user\$appdata\cmd.exe y lanzaba un nuevo proceso, el nuevo proceso a su vez creó un nuevo archivo en la carpeta de inicio: $user\$appdata\Microsoft\Windows\Menú de Inicio\Programas\Inicio\cmd.url. Esto contenía la ruta al archivo ransomware: URL=file:///$user\$appdata\cmd.exe.
Los grupos de habla rusa suelen operar solo fuera de Rusia, pero Key Group es una excepción a esta regla. Sus operaciones no son muy profesionales y muestran una incompetencia integral. Por ejemplo, el canal principal de C2 es un repositorio de GitHub, lo que facilita su seguimiento, y la comunicación se mantiene a través de Telegram en lugar de a través de un servidor dedicado en la red TOR.
Mallox
Mallox es otra variante de ransomware más o menos nueva que salió a la luz por primera vez en 2021 y lanzó su programa de afiliados en 2022. La forma en que los autores obtuvieron el código fuente no está clara: podrían haberlo escrito desde cero, haber usado uno publicado o filtrado, o haberlo comprado, como afirman. Dado que Mallox es una variante de ransomware menos conocida y, por lo tanto, menos documentada en comparación con Lockbit y Conti, decidimos analizar Mallox en esta publicación.
Aunque comenzó como un grupo privado que realizaba sus propias campañas, Mallox lanzó un programa de afiliados poco después de su creación. Es curioso que el grupo solo quiera hacer negocios con afiliados de habla rusa y no con los de habla inglesa. Tampoco aceptan principiantes. También son muy explícitos en cuanto al tipo de organizaciones que los afiliados pueden infectar: con ingresos no menores a 10 millones de dólares y ningún hospital o institución educativa.
Mallox utiliza identificadores de afiliados, lo que permite realizar un seguimiento de la actividad de los afiliados a lo largo del tiempo. En 2023 había 16 socios activos, lo que explica el pico de actividad, sobre todo en primavera y otoño de 2023, según la marca de tiempo PE.
Número de muestras de Mallox descubiertas, segun las marcas de creación de archivos PE (descargar)
En 2024, sólo ocho de los afiliados originales seguían activos y no se registró ningún nuevo participante. Por otra parte, Mallox tiene todas las características típicas de caza mayor de otros grupos, entre ellas un sitio de filtraciones, servidor alojado en TOR, etc.
Conclusión
Entrar en el negocio del ransomware nunca ha sido demasiado difícil. Siempre han estado disponibles soluciones estándar, o la posibilidad de convertirse en afiliado y subcontratar muchas tareas a otros. Al principio, con instrumentos como Hidden Tear, el impacto era relativamente bajo, porque los instrumentos eran fáciles de detectar y contenían errores de implementación que hacían posible el descifrado. Tenían como a consumidores comunes y no a grandes organizaciones. Esto ha cambiado, ya que el impacto puede ser mucho mayor con la llegada de la era de la “caza mayor” y el lanzamiento de variantes de ransomware “profesionales”, que pueden afectar a empresas, organizaciones, hospitales completos, etc. Estas muestras son más eficientes en términos de velocidad, configurabilidad, opciones de línea de comandos, compatibilidad con plataformas y otras funciones. Por otro lado, mientras conseguir una variante de ransomware “profesional” puede ser fácil, todo el proceso de explotación y exploración de una organización puede requerir demasiado tiempo o ser impracticable para los novatos.
También vemos que los grupos que usan variantes filtradas rara vez parecen profesionales, y Key Group y SEXi son claros ejemplos. Sin embargo, la razón de su eficiencia es que, o bien son capaces de establecer un esquema de afiliados que funciona bien (Key Group), o han encontrado un nicho en el que son capaces de desplegar su ransomware con eficacia (SEXi). En ambos casos, la filtración o publicación de variantes de ransomware puede considerarse una amenaza para organizaciones y usuarios particulares.
Si desea estar siempre al tanto de las últimas TTP utilizadas por los delincuentes, o si tiene alguna pregunta sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.
Indicadores de compromiso
SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70
Key Group
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330
Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2
Cómo las variantes de ransomware “profesionales” impulsan a los grupos de ciberdelincuentes