Un nuevo y peligroso ransomware, ScRansom, ha comenzado a hacer estragos en pequeñas y medianas empresas (PYMES) alrededor del mundo. El grupo cibercriminal CosmicBeetle ha sido identificado como el autor detrás de este malware personalizado, que ha puesto en jaque sectores clave como la manufactura, sanidad, servicios financieros, y más. ¿Lo más preocupante? Incluso pagando el rescate, muchas víctimas pueden no recuperar sus datos.
Un Ataque en Expansión
El ransomware, que ha afectado principalmente a empresas en Europa, Asia y Latinoamérica, ha sido catalogado como una seria amenaza para las PYMES que, a menudo, carecen de recursos para implementar medidas de ciberseguridad robustas. CosmicBeetle ha desarrollado ScRansom como una evolución de su antiguo ransomware, Scarab, y ha utilizado varias tácticas para maximizar el daño. Este grupo, que ha estado activo desde 2020, ha comenzado a aprovechar herramientas de otros grupos cibercriminales más establecidos, como LockBit, para mejorar sus capacidades técnicas y sembrar el caos en sus víctimas.
ScRansom: Un Ransomware «Imperfecto», pero Devastador
Según los expertos de la empresa de ciberseguridad ESET, ScRansom es un ransomware que, si bien no es de los más sofisticados en el panorama actual, ha demostrado ser increíblemente efectivo. CosmicBeetle, consciente de sus limitaciones técnicas, ha utilizado constructores filtrados de ransomware de terceros como LockBit para enmascarar sus deficiencias y aumentar la efectividad de sus ataques. En su modus operandi, han incluido detalles que imitan a LockBit, tanto en sus notas de rescate como en su sitio de filtraciones en la darknet.
Aunque la herramienta de cifrado ScRansom ha mejorado con el tiempo, los investigadores señalan que sigue presentando errores significativos que pueden llevar a la pérdida permanente de datos, incluso si las víctimas deciden pagar el rescate. CosmicBeetle, en muchos casos, parece no estar completamente preparado para gestionar las complejidades del descifrado, y las víctimas podrían necesitar múltiples claves para restaurar sus archivos. Esto plantea un riesgo muy alto para las empresas, ya que se estima que un buen porcentaje de los datos cifrados podría ser irrecuperable.
Cooperación con Otros Grupos de Ransomware
Un factor que ha elevado la alarma sobre CosmicBeetle es su supuesta afiliación con otro grupo cibercriminal emergente, RansomHub. Este grupo, activo desde marzo de 2024, se especializa en el ransomware-as-a-service (RaaS), un modelo en el que desarrolladores ceden su malware a afiliados a cambio de una parte de los rescates pagados por las víctimas. Según ESET, en varios ataques recientes se han observado muestras tanto de ScRansom como de RansomHub en las mismas máquinas, lo que sugiere una posible colaboración entre ambos grupos para maximizar el alcance y la eficacia de sus ataques.
CosmicBeetle y Su Estrategia de Imitación: LockBit Bajo el Radar
Una táctica particularmente inquietante es la imitación que CosmicBeetle ha hecho de LockBit, uno de los grupos de ransomware más notorios del mundo. LockBit, conocido por sus ataques extremadamente efectivos y bien organizados, sufrió la filtración de su «builder» en 2023, lo que permitió a otros grupos, como CosmicBeetle, utilizar esta herramienta para crear sus propias versiones de ransomware. CosmicBeetle ha ido más allá de simplemente usar el código; han copiado su diseño gráfico y han intentado que sus ataques parezcan ser obra de LockBit para aumentar la presión sobre las víctimas.
ESET confirmó que en septiembre de 2023, CosmicBeetle creó un sitio web en la darknet, llamado NONAME, que imitaba el diseño y estructura del sitio de filtraciones de LockBit. Para confundir aún más a las víctimas, publicaron datos robados por LockBit en su sitio, haciéndose pasar por este grupo, lo que incrementaba el caos y la desesperación de las víctimas al intentar resolver el incidente.
Vulnerabilidades Utilizadas por CosmicBeetle
CosmicBeetle no solo se basa en el phishing o las campañas de spam para infiltrarse en las redes corporativas; también explota vulnerabilidades conocidas y ampliamente documentadas. Entre ellas se encuentran:
- CVE-2017-0144 (EternalBlue): Vulnerabilidad en el protocolo SMBv1 que fue utilizada por WannaCry, uno de los ransomware más devastadores de la historia.
- CVE-2023-27532: Vulnerabilidad en Veeam Backup & Replication, utilizada para comprometer datos de respaldo.
- CVE-2021-42278 y CVE-2021-42287: Vulnerabilidades en Active Directory que permiten la escalada de privilegios.
- CVE-2022-42475: Vulnerabilidad en FortiOS SSL-VPN, frecuentemente explotada en ataques a redes corporativas.
Estas vulnerabilidades permiten a CosmicBeetle vulnerar sistemas que no han sido debidamente actualizados o parcheados, un problema común en muchas PYMES que carecen de equipos de TI dedicados para la gestión de riesgos cibernéticos.
Impacto Global y Sectors Afectados
El alcance de los ataques de CosmicBeetle es amplio y abarca múltiples sectores clave en diversas regiones del mundo. Entre los sectores más afectados se encuentran:
- Manufactura
- Farmacéutica
- Legal
- Educación
- Sanidad
- Tecnología
- Hostelería y ocio
- Servicios financieros
- Gobierno regional
En un mapa de calor de ataques publicado por ESET, se destacan países como España, India, Perú, Guatemala y Guyana Francesa como algunos de los principales afectados en esta reciente ola de ataques.
Consecuencias para las Víctimas: ¿Pagar o No Pagar?
Una de las grandes disyuntivas que enfrentan las empresas víctimas de ransomware es si deben pagar el rescate exigido por los criminales para recuperar sus datos. En el caso de CosmicBeetle, el pago no siempre garantiza la restauración completa de los archivos. ESET ha observado que muchas de las víctimas de ScRansom necesitan múltiples claves de descifrado para restaurar diferentes partes de sus sistemas, lo que hace que el proceso sea largo, complicado y, en muchos casos, insatisfactorio.
Además, en ciertos casos, el ransomware destruye partes de los archivos de manera irrecuperable, utilizando un modo llamado ERASE que sobrescribe los archivos con valores constantes, haciéndolos completamente inútiles. Incluso con la protección clave correcta, algunos archivos simplemente no pueden restaurarse, lo que añade un nivel de incertidumbre y frustración para las víctimas.
CosmicBeetle representa una amenaza cada vez más significativa en el panorama global de ciberseguridad. A pesar de ser un grupo relativamente inmaduro en comparación con gigantes del ransomware como LockBit, su capacidad para adaptarse, evolucionar y colaborar con otros actores maliciosos como RansomHub lo convierte en un peligro creciente. La incertidumbre sobre la recuperación de los datos, incluso después de pagar el rescate, y su capacidad para explotar vulnerabilidades críticas en redes mal protegidas, subraya la importancia de que las empresas, especialmente las PYMES, fortalezcan sus defensas cibernéticas.