Durante estos días estamos viendo mucho movimiento en lo relacionado con el ransomware. No solo por el descubrimiento de nuevas variantes dirigidas a sistemas diferentes a Windows, sino también por las noticias relacionadas con el cierre de operaciones de alguna conocida familia de ransomware motivada, según parece, por las operaciones policiales que se están llevando a cabo en varias regiones.
Cierre de BlackMatter ransomware
Probablemente la noticia relacionada con el mundo del ransomware que más está dando que hablar durante esta semana sea el cierre de las operaciones protagonizadas por BlackMatter. Este ransomware es la nueva identidad que adoptaron los responsables del ransomware DarkSide, que se hizo especialmente conocido tras atacar el principal oleoducto de los Estados Unidos el pasado mes de mayo.
Según la captura de pantalla proporcionada recientemente por el investigador vx-underground, el grupo responsable de BlackMatter habría anunciado su cierre el pasado 1 de noviembre en un post publicado en su web para afiliados. En ese post se alertaba del cierre de las operaciones en 48 horas y como motivo se alegaba la creciente presión ejercida por las autoridades, que incluso habrían llegado a detener a alguno de sus miembros.
Aunque no se han dado más detalles acerca de estas operaciones policiales, es posible que el cierre de las operaciones de BlackMatter esté relacionado con la detención reciente de doce personas relacionadas con ataques de ransomware contra empresas e infraestructuras críticas. Esta operación policial estuvo compuesta por autoridades de varios países, con un total de 50 investigadores trabajando de forma conjunta desde septiembre de 2019.
Tras este cierre, los afiliados del grupo BlackMatter han empezado a mover a sus víctimas a los sitios webs de otras familias de ransomware, como puede ser LockBit. De esta forma, los delincuentes siguen extorsionando a las víctimas y amenazando con publicar la información robada en los ataques.
Uso de envenenamiento SEO
Además de las noticias relacionadas con BlackMatter, la detección de dos campañas de envenenamiento SEO también han sido noticia. El envenenamiento SEO consiste en la optimización de ciertas webs controladas por los atacantes para posicionarse en los primeros puestos de los resultados, empleando técnicas de black hat SEO.
Según una investigación reciente realizada por investigadores de la empresa Menlo Security, esta técnica está aumentando, destacando las campañas protagonizadas por Gootloader (que terminaban descargando el ransomare REvil) y el backdoor SolarMarket. Para conseguir su propagación, los delincuentes utilizan palabras clave en los sitios webs que controlan, subiendo su posicionamiento temporalmente.
Los sitios maliciosos posicionados de esta forma invitan a los usuarios que los visitan a descargar un documento, pero cuando pulsan sobre el botón de descarga son redirigidos a una serie de webs que descargan malware. De esta forma, los delincuentes se aseguran de que las webs estratégicamente posicionadas permanecen activas durante un tiempo al no alojar contenido malicioso directamente y así se valen de las redirecciones para su descarga.
En estas campañas los delincuentes no crean sus propios sitios web, sino que aprovechan una vulnerabilidad en webs creadas con WordPress que ya tienen un buen posicionamiento en Google. Concretamente, se explota un agujero de seguridad en el complemento de WordPress “Formidable Forms”. En el caso de estar usando este complemento, se recomienda actualizarlo a la versión 5.0.10 o superior.
Conclusión
El ransomware sigue siendo una de las principales amenazas actuales y conviene estar al día de las noticias relacionadas con su evolución. De esta forma podemos conocer las técnicas usadas por los atacantes y adoptar medidas que nos ayuden a minimizar el riesgo que suponen esta y otras amenazas para la continuidad de nuestro negocio.