10/06/2020
El fabricante de automóviles Honda y una división de la eléctrica italiana Enel son las nuevas víctimas del ransomware SNAKE. Este es el mismo ransomware que afectó a principios de mayo al grupo Fresenius, el mayor propietario de hospitales privados de Europa y dueño de los centros de Quirónsalud.
Este martes Honda confirmaba a través de las redes sociales que sus servicios financieros y de atención al cliente no estaban disponibles debido a «dificultades técnicas». Edesur, la filial en Argentina de Enel, lamentaba lo mismo en un tuit: «Nuestros sistemas están afectados por una falla informática, que dificulta la atención a clientes por teléfono, redes sociales y el uso de la Oficina Virtual».
Ha sido el usuario @milkr3am quien ha tenido acceso a una muestra de los ransomware empleados en ambos ataques, ambas publicadas en VirusTotal. En un hilo en Twitter, el investigador detalla cómo este ciberataque de SNAKE presenta ligeras diferencias con el que ya protagonizó en mayo contra Fresenius, por ejemplo en el protocolo que emplea para cifrar los archivos de sus víctimas.
Un ransomware es un tipo de ciberataque. Una vez los cibercriminales consiguen ‘inocular’ el programa malicioso en el sistema informático de su víctima, el mismo comienza a infectar todos los dispositivos que estén conectados en la misma red y a encriptar los ficheros presentes en los mismos.
Una vez termina el proceso de cifrado, las bandas que operan estos programas de ransomware piden un rescate para que su víctima recupere el acceso a su información. De lo contrario, se expone a que toda la información comprometida se filtre en la deep web.
Lo que se sabe hasta ahora del ransomware SNAKE es que este tiene especial fijación por los Sistemas de Control Industrial. Así centró su ataque a Fresenius y, aparentemente, así ha fijado su objetivo en Honda y en la división argentina de Enel, según detallan los investigadores de MalwareBytes en este artículo.
Ha sido un ataque dirigido y planeado
Bleeping Computer, un medio de comunicación especializado en ciberseguridad, ha intentado hacer un análisis exhaustivo de la muestra de ransomware que la comunidad ha compartido en la red. Sin embargo, cuando lo ha intentado, al ejecutar el ransom en un entorno controlado, este se cierra inesperadamente sin haber encriptado ni un fichero.
Esto se debe, según detalla este medio en esta información, a que el código del ransomware intenta encontrar la IP del dominio mds.honda.com, y al no conseguirlo, se cierra.
En otras palabras: el ransomware era un ataque dirigido contra Honda. La muestra de ficheros encriptados por parte del ransomware incluye referencias a la palabra SNAKE, por lo que también es la evidencia necesaria para saber que detrás de estos ciberataques está esta banda.
El ataque de SNAKE tiene lugar la misma semana en la que el CCN-CERT ha publicado un análisis sobre este ransom. El CCN-CERT es el equipo de respuesta de emergencia a incidentes informáticos del Centro Criptológico Nacional, organismo dependiente de los servicios de inteligencia españoles.
En su investigación, el CCN-CERT destaca que SNAKE es un ransomware escrito en código GoLang, que «no es común» en el desarrollo de programas maliciosos. Sin embargo, los ciberespías españoles apuntan que «últimamente está siendo más utilizado por los atacantes».
Sobre todo en los casos de «Ransomware as a Service«. El RaaS es un fenómeno cada vez más extendido. Por lo general, los operadores de ataques de ransomware desarrollan sus propios programas maliciosos que luego distribuyen. En el caso del RaaS, las bandas de extorsionadores compran el programa a un tercero, con el que se comprometen a compartir beneficios.
Las bandas de ‘ransomware’ se organizan
El mundo del ransomware está registrando importantes incidentes en este 2020, toda vez que la pandemia del coronavirus ha forzado a muchos empleados a teletrabajar y ha expuesto las infraestructuras tecnológicas de muchas compañías.
Bleeping Computer también destacaba esta misma semana la preocupante noticia por la que varias bandas operadoras de ransomware se están organizando para publicar en una misma página web todos los datos robados de las víctimas que no quieran pagar.
Un analista de ciberseguridad de la neozelandesa Emsisoft apunta a Business Insider España que las bandas de ransomware «colaborarán y cooperarán cuando para ellas tenga sentido hacerlo». «En este caso, las bandas están aprovechándose de la infamia que ha organizado Maze para presionar a más compañías a obedecer y cumplir con sus exigencias».
Ocurre «como en los negocios legítimos», apunta este analista. «Parece que otros grupos se unirán al ‘cártel’ si creen que este ayudará a sus intereses financieros».
Fuente: businessinsider.es
