La ciberdelincuencia está evolucionando. Actualmente, se ha sustituido el bot que producía los devastadores ataques masivos de ransomware como WannaCry o NotPetya por los ciberataques personalizados que hace seguimiento a las víctimas. Tras el aumento de este número de ataques en 2018 -que alcanzaron popularidad gracias al éxito económico de SamSam, BitPaymer y Dharma- se ha detectado un nuevo ransomware dirigido, denominado Matrix, que pide rescates por un valor de 2.500 euros.
Del mismo modo que el resto de ataques de ransomware, Matrix obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil, una herramienta de acceso remota integrada para ordenadores con sistema operativo Windows. Sin embargo, a diferencia de éstos, Matrix sólo se dirige a un único dispositivo en la red, en lugar de extenderse ampliamente a través de una organización.
Además, las notas de rescate de Matrix están incrustadas en el código del ataque, por ello, las víctimas no saben que tienen que pagar hasta que el hacker se pone en contacto. Una vez establecida dicha comunicación, los atacantes exigen un rescate en criptomonedas, con un valor que equivale al dólar, algo inusual, según los expertos, ya que en estos casos se suelen usar criptodivisas. De media, los ciberdelincuentes empiezan solicitando 2.500 euros, pero a medida que disminuye el interés de las víctimas por pagar el rescate, la cifra puede descender.
SophosLab ha sido el encargado de realizar una deconstrucción -es decir, una ingeniería inversa del código y las técnicas empleadas- de Matrix para conocer en profundidad este ransomware. En la investigación, se analizaron 96 muestras en estado salvaje, activo desde 2016, y se pudo detectar que estos ciberdelincuentes van cambiando sus parámetros de ataques a medida que pasa el tiempo, añadiendo nuevos archivos y scripts para desplegar diferentes tareas y cargas útiles en la red.
4 medidas de seguridad
Para prevenir este tipo de ataques, Sophos recomienda:
- Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol (RDP) y Virtual Network Computing (VNC).
- Realizar análisis de vulnerabilidades y pruebas de penetración completas y regulares en toda la red.
- Hacer una autenticación multifactorial para sistemas internos sensibles, incluso para empleados en la LAN o VPN.
- Crear copias de seguridad offline and offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras, todo a la vez.