En un mundo donde la ciberseguridad se ha convertido en un tema crítico para individuos y empresas por igual, un reciente informe revela cómo 'Inc. Ransom', un actor prominente en la dark web, destaca la necesidad de fortalecer nuestras defensas digitales. En este artículo exploraremos la naturaleza de Inc. Ransom.
INC. Ransomware es un grupo cibercriminal relativamente nuevo pero altamente sofisticado que ha ganado rápidamente notoriedad en el ámbito de la extorsión digital. Al surgir en la escena del cibercrimen, este grupo se ha destacado por llevar a cabo ataques de ransomware focalizados, centrándose principalmente en redes corporativas y organizativas.
A diferencia de muchos operadores de ransomware oportunistas, INC. Ransomware parece elegir cuidadosamente sus objetivos, a menudo dirigiéndose a entidades con recursos financieros sustanciales y datos confidenciales, lo que aumenta significativamente la posible recompensa de sus demandas de rescate.
El modus operandi del grupo involucra una combinación de técnicas avanzadas, que incluyen campañas de phishing para obtener acceso inicial, explotación de vulnerabilidades conocidas (como CVE-2023-3519 en Citrix NetScaler) y la utilización de software comercial listo para usar (COTS) y herramientas de sistemas legítimos (LOLBIN) para llevar a cabo reconocimiento y movimiento lateral dentro de una red. Este enfoque no solo demuestra su habilidad técnica, sino también su capacidad para pasar desapercibidos, lo que hace que la detección y la prevención sean más desafiantes.
Los ataques de ransomware de INC. no se limitan solo al cifrado y bloqueo de datos; también incluyen el robo de datos y amenazas de divulgación pública, una táctica conocida como doble extorsión. Este método agrega una capa adicional de presión sobre las víctimas para que cumplan con las demandas de rescate, ya que no solo se pone en riesgo la accesibilidad de los datos, sino también su confidencialidad.
Te podrá interesar leer: Ataque de Ransomware con Doble Extorsión
INC. Ransom utiliza un enfoque sofisticado y de múltiples etapas para infiltrarse y comprometer los sistemas de sus objetivos. Su metodología de ataque combina el acceso inicial mediante phishing o explotación de vulnerabilidades, como el caso de CVE-2023-3519 en Citrix NetScaler, con una serie de pasos calculados para establecer el control y ejecutar su ransomware. A continuación, te presentamos una descripción detallada de su proceso de ataque:
1. Acceso inicial y reconocimiento: El grupo comienza obteniendo acceso inicial, ya sea a través de correos electrónicos de phishing o explotando servicios vulnerables. Una vez dentro, utilizan una variedad de herramientas para realizar reconocimiento interno y movimiento lateral. Estas herramientas incluyen NETSCAN.EXE para escanear la red, MEGAsyncSetup64.EXE para compartir y sincronizar archivos, ESENTUTL.EXE para administrar bases de datos y AnyDesk.exe para el control de escritorio remoto.
2. Explotación del Protocolo de Escritorio Remoto (RDP): INC. Ransom utiliza con frecuencia credenciales comprometidas para acceder a los sistemas a través de RDP. Durante estas sesiones, realizan actividades de enumeración, como la búsqueda de administradores de dominio y la prueba de conexiones de red. Esta fase suele implicar breves conexiones a múltiples servidores, indicando la búsqueda de puntos vulnerables dentro de la red.
3. Recopilación y preparación de datos: Durante el transcurso de su ataque, hacen uso de software legítimo para recopilar y preparar datos para su exfiltración. Esto incluye el uso de comandos de archivo 7-Zip para recopilar datos y la utilización de herramientas nativas como Wordpad, Notepad y MSPaint para examinar el contenido de documentos e imágenes. También instalan MEGASync en los servidores, presumiblemente para facilitar la transferencia de datos robados.
4. Movimiento lateral y acceso a credenciales: Los atacantes se desplazan lateralmente a través de la red, accediendo a múltiples servidores. Utilizan herramientas como Advanced IP Scanner e Internet Explorer para explorar la red e identificar objetivos adicionales. Durante esta fase, también ejecutan comandos para acceder a credenciales, lo que sugiere el uso de herramientas como lsassy.py para extraer las credenciales de inicio de sesión de los sistemas.
5. Cifrado e implementación de archivos: La etapa final implica la implementación del ransomware. Utilizan una combinación de wmic.exe y PSExec (disfrazado de winupd) para iniciar el ejecutable de cifrado de archivos en múltiples puntos finales. Esta fase se caracteriza por la rápida ejecución de comandos, lo que indica el uso de archivos por lotes o scripts para automatizar el proceso de cifrado.
6. Solución de problemas y adaptación: Curiosamente, en algunos casos los atacantes encuentran dificultades, como la incapacidad de ejecutar el ejecutable de cifrado en ciertos servidores. Esto se evidencia en múltiples intentos de ejecutar el ransomware con comandos de depuración, lo que demuestra su adaptabilidad y persistencia para superar los desafíos.
Podría interesarte: Alianza Global Anti-Ransomware
En lo que respecta a las industrias a las que pertenecen las organizaciones víctimas de INC. Ransom, la mayoría se encuentra en los sectores de Servicios Profesionales, Fabricación y Construcción.
La mayoría de las organizaciones que son objetivo de INC. Ransom tienen su sede en América del Norte y Europa. En cuanto a la distribución geográfica, se observa que INC. Ransom se dirige principalmente a organizaciones que operan en los Estados Unidos, representando un 57.9% de sus objetivos.
Te podrá interesar: Detección de Ataques de Ransomware con Wazuh
El surgimiento y las actividades del grupo INC. Ransom representan una amenaza significativa en el campo de la ciberseguridad. Su metodología de ataque sofisticada y multifacética, que incluye la explotación de vulnerabilidades, la utilización de una combinación de herramientas comerciales y legítimas para el reconocimiento y el movimiento lateral, así como la ejecución meticulosa de un ransomware planificado minuciosamente, ponen de manifiesto la naturaleza en constante evolución de las amenazas cibernéticas.
La capacidad de INC. Ransom para adaptarse y resolver problemas durante sus ataques, junto con su uso estratégico de herramientas para la recopilación, preparación y cifrado de datos, refleja un alto nivel de experiencia técnica y planificación.