Sophos presenta un nuevo informe sobre una familia de ransomware llamada Matrix. El malware ha estado operando desde 2016 y la compañía ha rastreado 96 muestras.
Al igual que otros ransomware dirigido conocidos, como BitPaymer, Dharma y SamSam, los atacantes que están infectando computadoras con Matrix han logrado irrumpir en las redes empresariales e infectar esos equipos a través del Protocolo de Escritorio Remoto (RDP), un control remoto integrado a la herramienta de acceso de computadoras con Windows. Sin embargo, a diferencia de las otras familias de ransomware, Matrix sólo se dirige a una sola máquina de la red, en lugar de extenderse ampliamente a través de una organización.
En este reciente análisis de Sophos, Matrix: Un informe de ransomware dirigido con denominador común, Sophoslabs descifró el código evolutivo y las técnicas empleadas por los atacantes, así como los métodos y las notas de rescate utilizados para tratar de extraer dinero de las víctimas. Los criminales de Matrix evolucionaron sus parámetros de ataque a lo largo del tiempo, con nuevos archivos y scripts añadidos para desplegar diferentes tareas y cargas útiles en la red.
Las notas de rescate de Matrix están incrustadas en el código de ataque, pero las víctimas no saben cuánto deben pagar hasta que se contactan con los atacantes. Durante la mayor parte de la existencia de Matrix, los autores utilizaron un servicio de mensajería instantánea anónimo protegido criptográficamente llamado bitmsg.me, pero ese servicio se ha interrumpido y los autores han vuelto a usar cuentas de correo electrónico comunes.
Los ciberdelincuentes detrás de Matrix demandan el rescate en criptomoneda en forma del equivalente al dólar de Estados Unidos. Esto es inusual, ya que las demandas de criptomoneda normalmente vienen en un valor específico de criptomoneda, no el equivalente en dólares. No está claro si la demanda de rescate es un intento deliberado de desorientación, o simplemente un intento de navegar violentamente fluctuando las tasas de cambio de la criptomoneda. Basado en las comunicaciones que Sophoslab tuvo con los atacantes, las demandas de rescate fueron por 2.500 dólares, pero los atacantes eventualmente redujeron el rescate cuando los investigadores dejaron de responder a las demandas.
Matrix es la “navaja suiza” del mundo del ransomware, con nuevas variantes capaces de escanear y encontrar potenciales víctimas una vez instalado en la red. Aunque los volúmenes de muestra son pequeños, eso no lo hace menos peligroso; está evolucionando y las nuevas versiones muestran cómo el atacante está aprendiendo y mejorando con cada ataque.
En el informe de amenazas 2019 de Sophos, destaca que el ransomware dirigido impulsará el comportamiento de los hackers, por lo que las organizaciones deben permanecer en alerta y trabajar para asegurarse de no ser un objetivo fácil.
La compañía recomienda implementar de inmediato las siguientes cuatro medidas de seguridad:
– Restringir el acceso a aplicaciones de control remoto como Remote Desktop (RDP) y VNC.
– Realizar el análisis de vulnerabilidades regulares y pruebas de penetración en toda la red.
– Utilizar autenticación multi-factor para sistemas internos sensibles, incluso para los empleados en la LAN o VPN.
– Crear copias de respaldo que estén fuera de línea y fuera del sitio, y desarrollar un plan de recuperación ante desastres que cubra la restauración de datos y sistemas para organizaciones enteras, todos a la vez.