En la reciente Cumbre de Inteligencia de Ciberamenazas de SANS, dos líderes de ciberseguridad de CrowdStrike han ofrecido una charla sobre Sprite Spider, un actor de delitos informáticos que está a punto de convertirse en uno de los mayores actores de amenazas de ransomware.
Sergei Frankoff, Investigador de Seguridad Senior de CrowdStrike, y su compañero Eric Loui, Analista de Inteligencia Senior de la compañía, han sido los ponentes de esta conferencia y CSO Estados Unidos ha publicado un artículo en el que recoge lo más destacado de la misma.
Según señala, el surgimiento de Sprite Spider como una amenaza sofisticada no es sorprendente dado que, al igual que otros muchos grupos organizados de ransomware, está lleno de piratas informáticos que a menudo son contratados por actores de amenazas de estados-nación.
"Sprite Spider comenzó usando un troyano bancario llamado Shifu en 2015, agregando un cargador de malware llamado Vatet alrededor de 2017. En 2018, la banda implementó un troyano de acceso remoto llamado PyXie. En 2019, el grupo evolucionó hasta el punto en que implementó un ransomware llamado DEFRAY777", indica CSO. Y agrega: "En este punto, los investigadores de CrowdStrike vincularon a Shifu, Vatet y PyXie a los ataques de ransomware DEFRAY777. Se dieron cuenta de que toda la actividad de estos componentes estaba vinculada a un solo actor de amenaza, que había estado volando por debajo del radar".
Cómo funciona el ransomware Sprite Spider
CSO también explica que este grupo de ransomware puede evitar a menudo la detección principalmente porque su código parece benigno y se camufla en proyectos de código abierto como Notepad ++. "Lo único que Sprite Spider escribe en el disco es Vatet, lo que dificulta aún más a los analistas rastrearlos durante la respuesta a incidentes".
A pesar de su sigilo y de sus múltiples componentes, el portal afirma que Sprite Spider muestra algunas características mundanas y que DEFRAY777 no es un ransomware sofisticado, pero que hace el trabajo. "La amenaza real de Sprite Spider se intensificó en julio de 2020 cuando comenzó a apuntar a los hosts ESXi, que generalmente son implementados por grandes organizaciones que utilizan tecnología de hipervisor completa desarrollada por VMware para administrar múltiples máquinas virtuales. DEFRAY777 implementado en hosts ESXi utiliza credenciales robadas para autenticarse en vCenter, que es la interfaz web para administrar varios dispositivos ESXi y sitios web alojados en esos dispositivos".
"Después de eso, los atacantes inician sesión, habilitan SSH, cambian las claves SSH o las contraseñas raíz, eliminan los procesos en ejecución y lanzan otras tareas que llevan a ejecutar el binario en el directorio TMP, encriptando todas las máquinas virtuales y sus hosts. Poco después de que Sprite Spider comenzara a apuntar a los hosts ESXi, otro grupo de amenazas llamado Carbon Spider también comenzó a apuntar de forma independiente a las máquinas ESXi", detalla.
CSO continúa subrayando que, al apuntar a las máquinas EXSi, Sprite Spider no tiene que implementar el ransomware en todo el entorno organizacional, solo en unos pocos servidores para cifrar una amplia franja de infraestructura de TI virtualizada.
Las infecciones de malware en productos básicos pueden conducir a ataques de ransomware
"Esto es representativo de una tendencia más amplia en el ecosistema del delito electrónico, donde algunos de los adversarios más importantes del delito electrónico han cambiado en gran medida sus operaciones del fraude bancario a estas operaciones de ransomware dirigidas", declaró Eric Loui, Analista de Inteligencia Senior de CrowdStrike.
Loui también advirtió que las infecciones de malware en herramientas básicas, pueden conducir a importantes ataques de ransomware. "Si tiene un problema con Emotet, probablemente tenga un problema con Trickbot. Si el problema lo tiene con Trickbot, vas a tener un problema con Ryuk o Conti (...).
"Si no puede detectarlo, actuar y remediarlo en una hora, no hay forma de que pueda ponerse al día. Por lo tanto, debe tratar esas infecciones potencialmente graves, incluso si son las llamadas herramientas básicas".
La cadena cyber kill de Sprite Spider, similar a la de los estados-nación hace diez años
Siguiendo la información de CSO, la cadena cyber kill de Sprite Spider y de otros importantes grupos de ransomware es comparable a la de los estados-nación hace diez años.
"Creo que hemos visto a varios estados-nación participar en este tipo de ataques para generar ingresos, específicamente Corea del Norte", aseguró el vicepresidente senior de inteligencia de CrowdStrike, Adam Meyers. Asimismo, señaló que Irán y China también se están adentrando en el ransomware y apuntó: "No es necesariamente el estado-nación el que está llevando a cabo el ataque, pero (los ciberdelincuentes) están usando las habilidades que aprendieron (trabajando para los atacantes del estado-nación) para ganar un poco de dinero extra. Las personas contratadas por el estado-nación están llevando a cabo ataques de ransomware en un cambio de luz de la luna".