Los grupos de ransomware Hive, LockBit y BlackCat han atacado, según han desvelado desde Sophos, la misma red empresarial de manera consecutiva. El informe de Sophos X-Ops Active Adversary, “Multiple attackers: a clear and present danger”, muestra que los dos primeros ataques se produjeron en dos horas, mientras que el tercero ocurrió dos semanas después.
“Ya es bastante malo recibir un aviso de ransomware, no digamos tres”, ha afirmado John Shier, asesor principal de seguridad de Sophos. Y es que las tres bandas de ransomware pidieron su propio rescate y dejaron algunos archivos triplemente encriptados. Un hecho que, como ha comentado Shier, complica la recuperación de la información ya que “crea un nuevo nivel de complejidad para la recuperación, particularmente cuando los archivos de la red están triplemente encriptados”. Por eso el asesor ha recordad que “la ciberseguridad que incluye prevención, detección y respuesta es fundamental para las empresas de cualquier tamaño”.
Sophos también alerta en este documento de otros casos de ciberataques superpuesto como troyanos de acceso remoto (RAT), bots y criptominería. Normalmente cuando los varios hackers han tenido como objetivo el mismo sistema, los ciberataques se han producido a lo largo de varios meses o años. Sin embargo, los ataques descritos en el informe se produjeron en cuestión de días o semanas. Además, la compañía destaca que los atacantes accedieron a la red empresarial a través del mismo punto vulnerable.
Otro dato a destacar de este triple ataque es que, habitualmente, los cibercriminales compiten por los recursos, por lo que es difícil que varios atacantes operen de manera simultánea. Sin embargo, en el ataque en el que participaron estos tres grupos de ransomware BlackCat eliminó su propio rastro y la actividad de LockBit y Hive. En otro caso, uno de los sistemas fue infectado por LockBit y, unos tres meses más tarde, los miembros de Karakurt Team fueron capaces de aprovechar la puerta trasera creada por LockBit para robar datos y pedir un rescate por ellos.
En este sentido, Shier ha explicado que “los grupos de ransomware no parecen ser abiertamente antagónicos entre sí. De hecho, LockBit no prohíbe explícitamente a sus afiliados trabajar con sus competidores”. Tal y como ha asegurado el asesor, “no tenemos pruebas de colaboración, pero es posible que esto se deba a que los atacantes reconocen que hay un número finito de recurso en un mercado cada vez más competitivo. O tal vez crean que cuanta más presión se ejerza sobre un objetivo más probable será que las víctimas paguen”.