En julio de 2021, la segunda ciudad más grande de Grecia fue víctima de un ciberataque orquestado por un grupo de ransomware aparentemente aficionado. PayOrGrief parecía haber existido durante solo un par de semanas cuando irrumpió en los sistemas de seguridad de Thessaloniki.

El grupo exfiltró y cifró numerosos archivos antes de emitir una devastadora demanda de rescate de 20 millones de dólares. Sin estar seguro de hasta dónde llegó la brecha, el equipo de seguridad del municipio se vio obligado a cerrar todos los servicios públicos del sitio web de Thessaloniki e iniciar una investigación completa sobre la brecha antes de que pudiera siquiera considerar pagar el inmenso rescate.

Encuentra la diferencia: PayOrGrief y DoppelPaymer
PayOrGrief no tardó mucho en ganarse la reputación de disruptivo. Su uso de tácticas de ransomware de doble extorsión ha demostrado ser eficaz para apuntar a organizaciones en todo tipo de industrias, incluidos numerosos fabricantes y municipios como Thessaloniki.

La novedad de la operación de PayOrGrief le facilitó vencer a las herramientas de seguridad basadas en ataques históricos, particularmente en esas primeras semanas. Sin embargo, los expertos en seguridad tenían sus sospechas de que PayOrGrief era más que el último grupo en ciernes en unirse a la escena del ransomware. Su libro de jugadas de ataque sugería experiencia.

Investigaciones posteriores confirmaron más o menos que PayOrGrief no era un grupo nuevo sino un cambio de marca de uno más antiguo llamado DoppelPaymerque finalizó sus operaciones en mayo de 2021. Con el nuevo apodo de PayOrGrief y un conjunto ligeramente modificado de tácticas, técnicas y procedimientos (TTP), el grupo ha tenido un éxito de más de $ 10 millones en pagos de rescate.

El éxito del cambio de marca de PayOrGrief demuestra cuán fácilmente un grupo puede ocultarse de la vista de herramientas basadas en datos históricos. La alteración de sus TTP permitió a PayOrGrief vencer a las herramientas de seguridad, pero estos cambios distan mucho de ser sustanciales y, para los analistas, el libro de jugadas de DoppelPaymer todavía era evidente.

Cómo PayOrGrief orquesta un ataque
Este libro de jugadas se abrió cuando, en julio de 2021, PayOrGrief apuntó a una empresa de fabricación europea. La empresa en cuestión había implementado la tecnología de inteligencia artificial (IA) de autoaprendizaje de Darktrace, que actualizaba continuamente su comprensión del negocio digital y buscaba comportamientos anómalos indicativos de una amenaza. Esta tecnología pudo revelar el ciclo de vida del ataque de PayOrGrief.

PayOrGrief a menudo comienza sus ataques con correos electrónicos de phishing que contienen actualizaciones falsas o documentos maliciosos a través de los cuales puede inyectar cepas de malware como Dridex en los dispositivos de destino. En este caso, cuatro dispositivos se vieron comprometidos, probablemente por una sola campaña de phishing, y comenzaron a realizar conexiones de comando y control (C2) a varias direcciones IP externas raras.

Estas conexiones, cifradas con un certificado SSL no válido, fueron seguidas por una carga de datos de 50 MB en el servidor corporativo de la empresa. Con esta posición escalada, los atacantes establecieron balizas de mantenimiento y luego estaban listos para comenzar la etapa de exfiltración de este ataque de ransomware de doble extorsión.

Captura de pantalla del registro de incidentes para la herramienta Darktrace AI que detecta la exfiltración de datos de PayOrGrief
Resumen del incidente generado por IA, que muestra la exfiltración de datos desde un solo dispositivo. (Fuente: Darktrace)

En solo unas pocas horas, se extrajeron más de 100 GB de datos a través de HTTPS a la plataforma de almacenamiento de archivos Mega. Los atacantes habían apuntado a más que esto, pero las defensas autónomas de la empresa se interpusieron en su camino.

Habiendo reconocido que este comportamiento era muy inusual en el contexto del «patrón de vida» normal de la empresa, la IA podría haber detenido la amenaza en sus primeras etapas si los ajustes de configuración de la empresa no la hubieran bloqueado en su mayor parte para que no interviniera. La IA tomó las medidas limitadas para las que tenía permiso y limitó el alcance de la exfiltración de datos. Al detectar y bloquear la actividad de archivos anómalos, obstruyó algunos de los esfuerzos de exfiltración, mientras continuaba monitoreando aquellas partes del estado digital en las que no podía tomar acción directa.

Los atacantes continuaron moviéndose lateralmente a través del estado digital, utilizando RDP y SMB para el reconocimiento interno y explotando los procesos y privilegios administrativos. Y luego, solo 10 horas después de que los primeros dispositivos comprometidos comenzaran a realizar conexiones maliciosas, PayOrGrief implementó su ransomware.

El cifrado se extendió por toda la empresa, con una escritura SMB con la extensión de archivo «.pay0rgrief» vista en 137 dispositivos. Una vez más, el sistema de ciberseguridad de IA pudo proteger ciertos dispositivos de actividades de archivos anómalas y reducir considerablemente el alcance del ataque. En cada etapa del ataque, incluido C2, movimiento lateral, reconocimiento interno, exfiltración y encriptación, la IA sugirió acciones para bloquear conexiones específicas y hacer cumplir los patrones de vida de los dispositivos para detener la amenaza sin interrumpir el negocio en sí.

Detener el próximo gran nombre en Ransomware
PayOrGrief ya no es un nombre desconocido, un hecho que ahora se reflejará en el OSINT de muchas soluciones de ciberseguridad basadas en reglas. Pero si las organizaciones continúan con este enfoque, observando los ataques históricos y poniéndose al día continuamente con las últimas cepas de ransomware y TTP, siempre serán vulnerables a lo que venga a continuación. Como demuestra la velocidad y la eficacia del cambio de marca de DoppelPaymer, centrarse en las especificidades del atacante es una solución miope.

En cambio, las empresas deberían adoptar herramientas de ciberseguridad que detengan las amenazas, independientemente de si se han visto antes. Al actualizar continuamente su comprensión de cómo debería comportarse normalmente su negocio, las soluciones impulsadas por IA como Darktrace pueden unir anomalías para detectar ataques emergentes e incluso tomar medidas autónomas para detenerlos. Eso significa que no importa cómo se llamen a sí mismos o cómo operen, los atacantes serán vistos por lo que son y detenidos.

Author

Write A Comment