La firma de seguridad cibernética S21sec señala que la persistencia de los ataques ransomware, en especial contra la industria japonesa en un periodo muy corto, ha disparado las alarmas acerca del verdadero objetivo de los referidos ataques, a nivel mundial.

“Se comprobaron una serie de ataques persistentes contra la industria japonesa en un marco temporal comprendido entre tres y nueve meses, entre cuyos objetivos se encontraba el de codificar cientos de máquinas a la vez, ha disparado las alarmas acerca de su verdadero objetivo”, explicó Antonio Ruiz, Team Leader ACS & MSS de S21Sec para México y Latinoamérica.

En el proceso de análisis de los actores implicados en el ataque, los ransomware utilizados que responden al apelativo ONI y MBR-ONI, se comprobó que cada uno de ellos juega un papel diferenciado, que no está dirigido al carácter expropiatorio y lucrativo, sino al robo de información confidencial, lo que vendría a alertar sobre la existencia de operaciones de hackeo dirigido, poco frecuentes en este momento. Estas conclusiones llevan a considerar la existencia de una tendencia mundial preocupante.

Pero lo que realmente suscita el interés, no es tanto el empleo de ransomware en operaciones de hackeo, sino las funcionalidades de los vehículos empleados, en particular de ONI, que tiene el carácter de “limpiaparabrisas” o “limpiador dirigido”, como se le denomina comúnmente en el argot. Este tipo de malware elimina el rastro de la información sustraída y de la acción sustractora, encubriendo la operación de piratería.

Ataques identificados

MBR-ONI.Es un nuevo bootkit (malware que aprovecha una vulnerabilidad del sistema operativo  escribe en el sector de arranque –MBR-Master Boot Record–, mueve el contenido original de este a un espacio protegido del disco duro y lo codifica), cuya principal característica es la incapacidad del sistema operativo para detectarlo debido a que sus componentes residen fuera del sistema de archivos MS Windows, que se basa en una versión modificada de una utilidad de cifrado de disco de código abierto llamada DiskCriptor, del que toma prestada una gran parte de su código.

Como dato interesante habría que resaltar que la referida utilidad DiskCriptor se ha empleado recientemente en el ransomware Bad Rabbit, el cual se ha utilizado para atacar diferentes sistemas en todo el mundo, principalmente Rusia y Ucrania.

ONI. Puede ser considerado una cepa anterior de ransomware en la misma cadena de ataques y, por los datos conocidos, parece compartir código con las variantes del ransomware GlobeImposter. La vía de infección es mediante correos electrónicos de spear-phishing que contienen el código malicioso; este se comprime en un archivo .zip y, una vez ejecutado, la carga maliciosa se recogerá en una variedad de dominios y comenzará a codificar los archivos en el punto final de la víctima. El malware tiene la capacidad de eliminar las copias de seguridad de Windows y limpiar los registros después de la infección.

No es la primera vez que se utilizan los “limpiadores dirigidos”

Not Petya, que ha afectado a grandes firmas, incluyendo la petrolera rusa Rosnef, la empresa eléctrica estatal de Ucrania, el Metro y otras infraestructuras críticas de este país.

Shamoon, que se ha visto implicado en diferentes ataques a petroleras como Saudí Aramco, Chevron, RasGas, o la petroquímica saudita Sadara.

Bad Rabbit, entre cuyos objetivos se podrían citar grupos de medios rusos, el Aeropuerto Internacional de Odesa, el Ministerio de Infraestructura de Ucrania, y el Metro de Kiev, entre otros.

“Las nuevas funcionalidades detectadas en los ataques que hemos descrito ha suscitado inquietud en buena parte de analistas en todo el mundo, por la potencial proyección y consecuencias de su extensión a otros continentes. Esto, en buena medida, se fundamenta en el análisis del crecimiento del ransomware como amenaza global que puede generalizarse en el corto o mediano plazo, y que podría poner en serio peligro las infraestructuras de muchos países”, concluyó Antonio Ruiz.