Los expertos en seguridad informática han identificado una nueva variante de ransomware perteneciente a la familia Phobos, la cual ha sido denominada Faust. Una firma de seguridad, que ha detallado esta última versión del ransomware, informó que se propaga mediante una infección que utiliza un archivo de Microsoft Excel (.XLAM) que contiene un script VBA.
Cara Lin, investigadora de seguridad, mencionó en un informe técnico publicado la semana pasada que "los atacantes utilizaron el servicio Gitea para almacenar varios archivos codificados en Base64, cada uno de ellos con un componente malicioso. Cuando estos archivos son inyectados en la memoria de un sistema, dan inicio a un ataque de cifrado de archivos".
Faust se suma a la lista de variantes de ransomware de la familia Phobos, que incluye Eking, Eight, Elbie, Devos y 8Base. Es importante destacar que Cisco Talos ya había documentado a Faust en noviembre de 2023. La empresa de ciberseguridad describió esta variante como activa desde 2022 y señaló que "no está dirigida a industrias o regiones específicas".
El proceso de ataque comienza con un archivo XLAM que, al abrirse, descarga datos codificados en Base64 desde Gitea para guardar un archivo XLSX aparentemente inofensivo, mientras que de manera silenciosa recupera un ejecutable que se disfraza como una actualización del software AVG AntiVirus ("AVG Updater.exe").
Este binario funciona como un descargador que busca y ejecuta otro archivo llamado "SmartScreen Defender Windows.exe" para iniciar el proceso de cifrado, empleando un ataque sin archivos para implementar el código shell malicioso.
Cara Lin añadió que "la variante Faust demuestra su capacidad para mantener la persistencia en el entorno y crea múltiples subprocesos para una ejecución eficiente".
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
El desarrollo de esta situación se produce a medida que nuevas cepas de ransomware, como Albabat (también conocido como White Bat), DHC, Frivinho, Kasseika, Kuiper, Mimus, NONAME y NOOSE, están ganando terreno. El primero de ellos, Albabat, se trata de un malware basado en Rust que se distribuye disfrazado como software fraudulento. Este malware se presenta como una herramienta falsa de activación digital para Windows 10 y un programa de trampas para el juego Counter-Strike 2.
Recientemente, Trellix examinó las variantes de Kuiper diseñadas para Windows, Linux y macOS a principios de este mes. Se ha atribuido este ransomware basado en Golang a un actor de amenazas conocido como RobinHood, quien lo dio a conocer por primera vez en foros clandestinos en septiembre de 2023.
Un investigador de seguridad destacó que la naturaleza orientada a la concurrencia de Golang resulta beneficiosa para el actor de amenazas en este caso, ya que evita problemas comunes relacionados con múltiples subprocesos que, de otra manera, podrían haber sido casi inevitables, como las condiciones de carrera.
Conoce más sobre: Kasseika Ransomware: Amenaza que desactiva antivirus mediante drivers
Otro factor que aprovecha el ransomware Kuiper y que contribuye a su creciente popularidad es la capacidad multiplataforma del lenguaje de programación Golang para crear compilaciones destinadas a diversas plataformas. Esta versatilidad permite a los atacantes adaptar su código con facilidad, especialmente debido a que gran parte del código base, relacionado con el cifrado, es Golang puro y no requiere reescritura para funcionar en una plataforma diferente.
Además, es relevante mencionar a NONAME, ya que su sitio de filtración de datos imita al del grupo LockBit, lo que plantea la posibilidad de que NONAME esté relacionado con LockBit o esté recopilando bases de datos filtradas compartidas por LockBit en el portal oficial de filtración, según señaló el investigador Rakesh Krishnan.
Estos descubrimientos se suman a un informe de la empresa de ciberseguridad francesa Intrinsec, que establece una conexión entre el ransomware emergente 3AM (también escrito como ThreeAM) y el ransomware Royal/BlackSuit. Este último surgió tras el cierre del sindicato de cibercrimen Conti en mayo de 2022, debido a una "superposición significativa" en tácticas y canales de comunicación entre el ransomware 3AM y la "infraestructura compartida del ex nexo Conti-Ryuk-TrickBot".
Además, se ha observado que los actores de ransomware vuelven a utilizar TeamViewer como vector de acceso inicial para comprometer los sistemas objetivo e intentar implementar cifradores basados en el generador de ransomware LockBit, el cual se filtró en septiembre de 2022.
Te podrá interesar leer: Explorando los 7 Grupos de Hackers Más Temidos en 2023
Según una firma de ciberseguridad, "los actores de amenazas están buscando cualquier método disponible para acceder a los dispositivos finales individuales con el objetivo de causar daños y posiblemente extender su alcance a la infraestructura".
En las últimas semanas, LockBit 3.0 también ha sido distribuido disfrazado como archivos de Microsoft Word, simulando ser currículums dirigidos a entidades en Corea del Sur, según el Centro de Inteligencia de Seguridad AhnLab (ASEC).
A pesar de la naturaleza en constante evolución del panorama de ransomware, hay señales de que las víctimas están cada vez más renuentes a pagar rescates. En el cuarto trimestre de 2023, la proporción de víctimas de ransomware que optaron por pagar disminuyó al 29%, en comparación con el 41% en el tercer trimestre y el 34% en el segundo trimestre. En el tercer trimestre de 2022, se registró un mínimo previo del 28%.
El pago promedio de rescate durante ese período disminuyó un 33%, pasando de $850,700 a $568,705, según datos compartidos por la firma de negociación de ransomware Coveware. Sin embargo, el pago medio del rescate se mantuvo sin cambios en $200,000, en comparación con los $190,424 del segundo trimestre de 2023.
Coveware comentó que "la industria está cada vez más informada sobre lo que se puede y no se puede obtener de manera razonable al pagar un rescate, lo que ha llevado a una mejor orientación para las víctimas y a una reducción en los pagos por garantías intangibles".
Conoce más sobre: Descenso récord en pagos de ransomware: Las víctimas no pagan
Estas nuevas bandas de ransomware son una amenaza emergente que requiere atención y preparación. A través de la adopción de medidas de seguridad robustas, educación en ciberseguridad y planes de respuesta efectivos, las organizaciones pueden fortalecer su postura de seguridad y minimizar el riesgo de ser víctimas de este y otros tipos de ataques cibernéticos.