Check Point sitúa en Irán el origen de una cadena de ataques ransomware contra Israel y otras empresas europeas

El virus Pay2Key, que permite cifrar toda la información del equipo infectado en menos de una hora, es la variante de malware utilizada en esta campaña para pedir rescates de entre 110.000 y 140.000 dólares. id:65039

Investigadores de Check Point® Software Technologies Ltd.(NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, han seguido la pista de Pay2Key, una nueva variante de ransomware recientemente descubierta capaz de cifrar la información de la víctima en menos de 1 hora, y han descubierto que tras esta ciberamenaza se encuentra un grupo de ciberdelincuentes en Irán. En un primer momento, los expertos de la compañía revelaron que este ciberataque estaba dirigido contra empresas israelíes, pero recientemente se han descubierto nuevas pruebas que apuntan a que compañías de otros países europeos también habrían sido víctimas de esta amenaza.

En busca del dorado

Cuatro víctimas de Pay2Key decidieron pagar el rescate, ofreciendo a Check Point la oportunidad de seguir la pista al dinero extraído. Los investigadores de la compañía, en colaboración con la empresa de inteligencia de blockchain Whitestream, rastrearon secuencias de transacciones de Bitcoin a una criptodivisa iraní llamada Excoino. El flujo comienza con las carteras (wallets) encontradas en las notas de rescate, continúa con una cartera (wallet) intermedia y finalmente con una cartera final asociada a dichadivisa digital.

Figura 1. Flujo de transacciones de Bitcoin entre las víctimas y Excoino (foto de portada)

Excoino es una entidad iraní que presta servicios de transacciones seguras de criptomonedas sólo a ciudadanos del país. Para registrarse, es necesario que el usuario tenga un número de teléfono iraní válido y un código ID/Melli, así como un documento de identidad. Tomando esto como punto de partida, los investigadores de Check Point llegaron a la conclusión de que los actores maliciosos detrás de esta amenaza son, con toda probabilidad, ciudadanos iraníes.

La doble extorsión, eje principal del ataque

Los ciberdelincuentes detrás de Pay2Key utilizan una táctica llamada doble extorsión, una evolución reciente en el arsenal de variantes de ransomware. Esta nueva estrategia no se limita a cifrar la información de la víctima para exigir el pago de un rescate, sino que, para aumentar la presión, amenazan con publicar cualquier datos si no se cumplen sus exigencias. Además, los grupos de ciberdelincuentes que utilizan Pay2Key han creado un sitio web dedicado a filtrar información de sus víctimas.

Se cree que el punto de entrada inicial para todas las intrusiones son servicios RDP (Remote Desktop Protocol), que se caracterizan por su bajo nivel de seguridad. Una vez dentro de la red de la víctima, los atacantes establecen un dispositivo que se utilizará como proxy para todas las comunicaciones salientes entre los ordenadores infectados por el virus y los servidores de mando y control (C2) de Pay2Key. Esto ayuda a los ciberdelincuentes a evadir las medidas de detección antes de cifrar todos los sistemas de la red utilizando un solo dispositivo para comunicarse con su propia infraestructura. Una vez que el cifrado termina, se dejan las notas de rescate en los sistemas hackeados, y grupo detrás del ataque pide un rescate que oscila entre las 7 y las 9 Bitcoins (entre 110.000 y 140.000 dólares).

"Estamos viendo cómo aumenta el ransomware a nivel global, dirigidos contra cualquier tipo de objetivo, desde hospitales hasta grandes empresas. Pay2Key es una variante sofisticada y mucho más rápida. Los recientes acontecimientos indican que un nuevo grupo de ciberdelincuentes se ha unido a la tendencia del ransomware dirigido, y todas las pruebas recabadas hasta ahora apuntan a que tienen su base en Irán”, señala Lotem Finkelsteen, director de Inteligencia de Amenazas en Check Point. “Estos grupos de cibercriminales han puesto en marcha una campaña alarmante diseñada para maximizar el daño y minimizar la detección, por lo que aconsejamos a las empresas de todo el mundo que extremen las precauciones ", concluye Finkelsteen.

Recomendaciones para estar protegidos

Parchear de forma virtual: Aunque es difícil mantenerse al día con cada actualización de software, si se adopta un enfoque más completo que combine la funcionalidad de los sistemas de prevención de intrusiones (IPS) con una estrategia de aplicación de parches de seguridad, las empresas pueden asegurarse de que están protegidas contra los exploits más recientes.

Implantar un sistema de prevención de intrusiones: estas herramientas detectan y previenen los intentos de explotar las debilidades de los sistemas o aplicaciones. Las soluciones IPS de Check Point se actualizan automáticamente en el Firewall de Próxima Generación, garantizando la seguridad de las empresas independientemente de si la amenaza ha sido lanzada hace años o tan sólo unos minutos. Ya sea que la vulnerabilidad haya sido liberada hace años, o hace unos minutos, su organización está protegida.

Instalar Anti-Ransomware: estos productos protegen a las empresas frente a las variantes de ransomware más sofisticados, al mismo tiempo que recupera de forma los datos cifrados, asegurando la continuidad y la productividaddel negocio.

Por otra parte, Check Point cuenta con SandBlastAgent, una completa solución de seguridad para endpoints que identifica actividades ransomware como el cifrado de archivos o los intentos de comprometer las copias de seguridad del sistema operativo, y restaura de forma segura los archivos cifrados con el rescate de forma automática.