El mercado de los ciberataques no se detiene, mientras algunos grupos de piratas informáticos desaparecen, otros nuevos surgen dispuestos a no cometer los mismos fallos que sus predecesores. BlackMatter se presenta como la nueva amenaza de las grandes corporaciones, una banda especializada en ransomware que ha prometido no realizar ataques a servicios esenciales como el que sufrió el SEPE en España hace unos meses.

Los ataques de ransomware son la principal amenaza online. En el último año, este tipo de extorsión ha pasado de ser un problema de las empresas privadas, a convertirse en el azote de instituciones públicas y sectores esenciales. En España, hemos visto como el SEPE (Servicio Público de Empleo Estatal) se quedaba sin servicio en todo el país y en Estados Unidos se paralizaba su oleoducto más grande.

Los ataques a industrias esenciales han puesto de manifiesto la peligrosidad de una nueva táctica que están adoptando las bandas de ciberdelincuentes, conocida como RaaS o ransomware as a service. Consiste en vender el malware a afiliados de todo el mundo para que ellos escojan a las víctimas y realicen el hackeo.

Se consigue un mayor alcance y recaudación, pero se pierde el control en la ejecución y el resultado puede ser peor de lo deseado. La gravedad de estos últimos hackeos así lo demuestra y ha generado una respuesta más fuerte por parte de las naciones, consiguiendo que varios grupos de ciberdelincuentes desaparezcan y los nuevos se replanteen sus objetivos.

El Legado de DarkSide y REvil

BlackMatter está dando sus primeros pasos reclutando a afiliados en los foros de la DeepWeb. En los anuncios que ha publicado este grupo, hay un lema muy claro: "no permitiremos que nuestro proyecto se utilice para cifrar infraestructura crítica". Desde la cúpula de esta nueva banda han asegurado en una entrevista reciente con Recorded Future, que sus víctimas serán únicamente grandes corporaciones con ingresos superiores a los 1.000 millones de dólares. 

El grupo ha impuesto a sus afiliados la prohibición de hackear organizaciones de salud, infraestructuras críticas, petróleo y gas, defensa, organizaciones sin fines de lucro y gubernamentales. No es una cuestión de principios, sino una estrategia para no llamar la atención como hicieron DarkSide o REvil. 

Estas dos clanes especializados en ransomware han desaparecido de la DeepWeb, tras protagonizar dos de los hackeos más importantes de los últimos años. REvil se usó para hackear a JBS, el proveedor de productos cárnicos más importante del mundo. Mientras que DarkSide paralizó el oleoducto más grande de los Estados Unidos, Colonial Pipeline.

Se sospecha que su desaparición se debe a la presión ejercida por Estados Unidos. Las teorías más fuertes sugieren que las autoridades cibernéticas del país americano habrían tumbado las operaciones de ambos grupos, aunque también ha podido participar el Gobierno de Rusia, presionado por Joe Biden durante la cumbre de Ginebra del pasado 16 de junio.

No obstante, una tercera teoría sugiere que las dos familias se habrían retirado para volver bajo otros nombres y con una nueva estrategia. De esta manera, consiguen desviar la atención de las autoridades y ponen en marcha nuevas operaciones de ransomware. DarkSide ha llegado a reconocer que su único objetivo es ganar dinero, no crear problemas de desabastecimiento.

Posible cambio de nombre

En su entrevista con Recorded Future, BlackMatter da a entender que son un grupo completamente nuevo, aunque reconoce que han incorporado ideas de LockBit, REvil y DarkSide: "estamos familiarizados con el equipo de DarkSide al trabajar juntos en el pasado, pero no somos ellos". La similitud de este nuevo grupo con las antiguas bandas de ransomware no ha pasado desapercibida para los expertos en ciberseguridad que están estudiando este nuevo caso. 

Marc Rivero, Senior Security Researcher de Kaspersky ha explicado a OMICRONO que "desde la industria se sospecha que podría ser un cambio de marca, de DarkSide hacia BlackMatter, aunque es un poco pronto para confirmarlo". Por el momento, no figura ningún ataque a nombre de esta organización y ellos no publicarán en su blog ningún dato si las negociaciones con las empresas afectadas son fructíferas, pero sí circulan varias versiones de este ransomware que demuestran claras semejanzas con el malware que atacó a Colonial Pipeline. 

Las similitudes de software, que se llamaría como el propio grupo, van desde el cifrado de ficheros que utilizaban ambos clanes, como la librería que en la se descomprime el fichero de configuración en el que se basa el ransomware. Incluso BlackMatter utiliza dos servidores como hacía DarkSide: uno para comunicar el código de un nuevo cliente y otro para realizar estadísticas globales de los ataques.

"El cambio de marca es bastante común en el entorno de ransomware" dice Rivero. "Desde Kaspersky estamos estudiando si REvil puede salir en breve con otro nombre", creen que desde el 11 de julio que desapareció su actividad han tenido tiempo para reorganizarse bajo otra marca.

Cómo funciona BlackMatter

BlackMatter sigue la técnica de otros grupos de hackers especializándose en RaaS o ransomware as a service. Esta nueva estrategia es menos conocida que el ransomware tradicional, pero se ha popularizado en el último año por las facilidades que ofrece para que personas sin amplios conocimientos puedan realizar ataques por su cuenta.

Como su propio nombre indica, esta nueva organización criminal se basa en el software as a service (SaaS). En vez de ofrecer programas informáticos legales para utilizar en el trabajo, los hackers venden en la DeepWeb kits de malware con los que realizar un ataque de ransomware.

De esta manera, personas menos instruidas en la piratería informática pueden entrar en este mercado ilegal de internet y hacerse con un programa para secuestrar información privada de alguna empresa y chantajear a las compañías. Los llamados afiliados pueden elegir a su víctima y atacarla aunque no cuenten con la habilidad necesaria para perpetrar un robo de este estilo.

Los hackers ofrecen el código o malware a cambio de una suscripción mensual, una comisión o porcentaje del botín obtenido con el robo, incluso pueden limitar el uso del programa. El problema aparece cuando no se controla quiénes son las víctimas, por eso BlackMatter ha decidido establecer una serie de límites desde el principio.

La banda afirma que la última palabra en este sentido es de ellos, "comprobamos cada objetivo y decidimos si tiene posibles consecuencias negativas para nosotros". Algo con lo que no está de acuerdo Marc Rivero, que advierte que "ellos pueden tener el control en cuanto a si pagan o no al afiliado por ese rescate, o pueden también expulsarle del programa de afiliados, pero la víctima ya se ha visto afectada".

BlackMatter se defiende alegando que su negocio "no daña a las personas y está dirigido solo a las empresas", e insisten en que "si miramos más a fondo, como resultado de estos problemas se desarrollan y crean nuevas tecnologías".

Consejos para evitar los ataques

Mientras los gobiernos y empresas de ciberseguridad luchan contra este mercado del malware, desde Kaspersky aconsejan a las empresas y particulares realizar copias de seguridad. Contarcon un buen antivirus y copias de seguridad de todos los archivos de la empresa, es el escudo principal para evitar pagar a las bandas de ransomware cuando consiguen encriptar los archivos de las compañías. 

No obstante, es igual de importante tener unplan estratégico para saber cómo actuar cuando se ha sufrido una ataque, como desarrollar uno preventivo. Rivero nos recuerda que estos grupos de ciberdelincuentes también suelen amenazar con hacer pública información privada si no se les paga.

En cualquier caso, hay que tener al día las copias de seguridad, así como mantener actualizados los sistemas informáticos de la empresa, parcheados contra cualquier brecha de seguridad o vulnerabilidad que pueda permitir a los atacantes hacerse con la información.

Toda precaución parece poca ante una de las mayores lacras informáticas y económicas de está década. Se calcula que, para finales de 2021, el ransomware afectará a una empresa cada once segundos, y el daño económico de esta actividad delictiva podría llegar a los 20.000 millones de dólares. 

También te puede interesar...

• Asesinada por un virus: un ataque 'ransomware' termina en la muerte de una paciente
• Qué es Pegasus y cómo funciona el software que espía los móviles de millones de ciudadanos
• Así es Ryuk, el ransomware que estaría bloqueando ordenadores en España