Este artículo proporcionará un recorrido guiado por las técnicas empleadas por los ciberdelincuentes, sus escondites y sus desafortunadas víctimas. Para completar nuestra exploración, utilizaremos el navegador Tor para descubrir la información que exponen cuando las empresas se niegan a ceder a sus demandas de extorsión.

En un abrir y cerrar de ojos, una compañía, sin importar su rubro o tamaño podría ser comprometida de tal manera que no pueda seguir operando, las ventas no se logren y sufrir impacto negativo en los medios y redes sociales.

Comencemos conociendo al enemigo, el ransomware es un tipo de malware que se caracteriza por las siguientes acciones:

  • Accede a la red de la víctima e intenta elevar privilegios, con los que podría desactivar sistemas de seguridad.
  • Crea mecanismo de accesos alternativos para generar persistencia.
  • Intentar realizar movimientos laterales para comprometer la mayor cantidad de activos y generar el mayor daño posible.
  • Exfiltran los archivos de los sistemas que van comprometiendo, pero teniendo cuidado de no afectar el funcionamiento del sistema operativo.
  • Extorsionan pidiendo un pago a cambio de la clave que permita descifrar todos los archivos.
  • Hacen públicos los archivos exfiltrados.

El acceso a la red no siempre es igual, algunos explotan vulnerabilidades, pero no solo las más recientes, según un informe realizado por ESET se puede ver que las vulnerabilidades que más se intentaron explotar durante el pasado año (2022) en Latinoamérica, fueron descubiertas en el año 2012 y 2017, ambas de Microsoft Excel.


Otro vector de entrada son los “insiders”, todo es más fácil estando ya dentro.

Suelen utilizar técnicas de ingeniería social, donde manipulan a un usuario para que instale el software malicioso sin saber lo que está haciendo. También es sabido que contactan directamente con empleados a través de redes sociales ofreciendo dinero a cambio del acceso. Estos dos, nos son los únicos métodos de contactar insiders, existen publicaciones en foros, canales de Telegram donde se recluta empleados dispuestos a participar. 

Por último, tenemos los “programas de afiliados”. El famoso RaaS (Ransomware as a Service). Se trata de un servicio, en el que se ofrece toda plataforma para que el afiliado se encargue del acceso, infección y exfiltración, luego puede tener acceso al chat donde se realiza la negociación entre la víctima y el atacante.

Si el rescate es pagado, recibe un porcentaje de las ganancias, si el rescate no es pagado, se verá la información publicada a disposición de todos.

El siguiente ejemplo es la sección “Affiliate Rules” del blog de Lockbit, es el grupo de ransomware con más víctimas, probablemente por su metodología de RaaS.

Una vez dentro de la red, el siguiente paso es “escalar privilegios” y generar “persistencia”, esto permite tener distintos tipos de acceso a la red en caso de perder alguno de ellos y poder seguir operando.

Es común, por ejemplo, en un entorno Windows con Active Directory, obtener permisos de “Domain Admin”, modificar GPOs (Group Policy Object) y realizar modificaciones de manera masiva sobre todos los equipos unidos a dicho dominio. Estos privilegios, también permiten realizar movimientos laterales para exfiltrar la mayor cantidad de datos posibles, como así también cifrar la mayor cantidad de activos.

Una vez que los datos son encriptados con una clave que solo el atacante sabe, es donde empieza la negociación o extorsión.

El primer contacto que va a tener la víctima con el atacante, es la conocida “ransom note”. Este es un ejemplo del grupo RansomHouse en su ataque a la empresa IFX. Estas son personalizadas, puede ser un archivo .txt en cada directorio que contenga archivos cifrados, puede ser un fondo de pantalla, como siempre varía según quien sea el atacante.

Estas notas cuentan con ciertos datos, obviamente va a ser diferente según el grupo de ransomware.

Atribución: Aquí es donde se presentan, el nombre del grupo siempre es visible.

Publicación: Dejan un enlace a su blog en la darkweb, la cual es de acceso público, algunos dejan muestras de archivos, otros imágenes. Este es el momento donde generan daño reputacional.

Contacto: Puede ser un enlace a un chat privado en la darkweb, canal de Telegram, etc. Es un canal para realizar las negociaciones entre la víctima y el operador de ransomware.

Pago: Puedo o no estar, es un importe en criptomonedas para evitar la publicación de los archivos y obtener la clave para el descifrado de los archivos. A veces incluye una wallet para realizar el pago.

Ahora vamos a explorar los distintos blogs, pero es necesario saber dónde podemos encontrarlos.

Por suerte existen varios sitios que nos pueden ayudarnos con esta tarea, por ejemplo, https://ransomwatch.telemetry.ltd/#/

En esta simple lista, podemos ver la fecha de publicación, la empresa que fue víctima (con un enlace a la búsqueda en Google para tener más contexto de la empresa).

Haciendo click sobre cada atacante, se puede acceder a la URL de su blog, son siempre sitios en la dark web, se los pueden distinguir porque finalizan con .onion

No es posible acceder a estos sitios desde los navegadores como Firefox, Chrome o Edge, es necesario utilizar el navegador Tor (The Onion Router), lo podemos encontrar en la siguiente web: https://www.torproject.org/

Solo hay que instalarlo y no necesita ninguna configuración adicional.

Con las direcciones en el sitio Ransomwatch y el navegador Tor instalado, ya podemos ir a ver los distintos blogs de los cibercriminales.

Vamos a hacer un breve recorrido por los blogs de cinco operadores de ransomware.

Comencemos con Lockbit3, el blog es simple, en rojo están las víctimas que se encuentran bajo negociación, con el tiempo que queda hasta que los archivos sean definitivamente publicados, en verde están las víctimas que se les agotó el tiempo y no pagaron el rescate.

Haciendo click sobre alguna de las víctimas (en verde), accedemos a la pagina de publicación, donde podemos ver las fechas en que los archivos fueron subidos y publicados, también hay capturas de pantalla, datos de la compañía y por ultimo los links de descarga, con los que podemos obtener la información.

Otro grupo relevante es Blackcat/Alphv, su página principal del blog muestra todas sus víctimas.

Cuenta con unas sección de “Collections” donde se puede acceder a las descargas, donde podemos hacer querys realizar búsquedas entre la información expuesta o bien elegir una de victimas y obtener toda la información.

Ahora veamos 8base, en la misma página principal se encuentran las victimas que están en negociación, con el tiempo límite antes de publicar los datos y para el caso que este tiempo ya haya expirado, directamente están los links de descarga.

Es interesante que en este caso, las descargas no se encuentran en la darkweb, lo que asegura una descarga mucho más veloz.

Cactus es un grupo relativamente nuevo que ha conseguido muchas víctimas en los últimos tiempos, al igual que el resto, cuenta con una página principal con el listado de empresas comprometidas.

Luego, dentro de cada empresa, cuenta con imágenes de muestra y el link de descarga, no informa la cantidad de archivos ni el peso total de los mismos.

NoEscape muestra en su pagina principal solo las empresas con las que se encuentra negociando en este momento, donde nos informa, el peso de los archivos y el tiempo restante.

Para acceder a la información, tiene una sección de “Archive” donde se encuentran todas las víctimas que no accedieron a la extorsión.

Cuenta con screenshots de muestra y los enlaces de descarga.

En conclusión, el ransomware es una de las amenazas que más daño está generando en la actualidad, este artículo tiene como intención que sea útil para concienciar, que se entienda el daño que puede provocar la exposición de información sensible o datos personales.

Las recomendaciones para evitar un ataque son las mismas de siempre que hemos escuchado una y otra vez, mantener todo nuestro software actualizado, planes continuos de concientización y en caso de que suceda lo peor, contar con backups y un equipo de respuesta a incidentes de seguridad (CSIRT).

En un mundo cada vez más interconectado y digitalizado, el ransomware representa una amenaza persistente y devastadora. Su capacidad para cifrar datos y extorsionar a individuos y organizaciones ha provocado pérdidas económicas significativas y ha generado un ambiente de desconfianza en el ciberespacio. Sin embargo, a medida que la tecnología avanza, también lo hacen las defensas y las estrategias de prevención. La educación, la conciencia y la inversión en seguridad cibernética son armas poderosas contra esta amenaza.

El ransomware es un recordatorio constante de la importancia de la ciberseguridad en la era digital.