Ciudad de México, a 31 de enero de 2019. Sophos, firma especializada en ciberseguridad, presentó un nuevo informe sobre una familia de ransomware llamada Matrix. El malware ha estado operando desde 2016 y Sophos ha rastreado 96 muestras. Al igual que el ransomware dirigido ya conocido, incluyendo BitPaymer, Dharma y SamSam, los atacantes que están infectando las computadoras con Matrix han logrado irrumpir en las redes empresariales e infectar esos equipos a través del Protocolo de Escritorio Remoto (RDP), un control remoto integrado a la herramienta de acceso de computadoras con Windows. Sin embargo, a diferencia de estas otras familias de ransomware, Matrix sólo se dirige a una sola máquina en la red, en lugar de extenderse ampliamente a través de una organización.
En el más reciente análisis de Sophos, “Matrix: Un informe de ransomware dirigido con un denominador común” https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-matrix-report.pdf, Sophoslabs descifró el código evolutivo y las técnicas empleadas por los atacantes, así como los métodos y las notas de rescate utilizados para tratar de extraer dinero de las víctimas. Los criminales de Matrix evolucionaron sus parámetros de ataque a lo largo del tiempo, con nuevos archivos y scripts añadidos para desplegar diferentes tareas y cargas útiles en la red.
Las notas de rescate de Matrix están incrustadas en el código de ataque, pero las víctimas no saben cuánto deben pagar hasta que se contactan con los atacantes. Durante la mayor parte de la existencia de Matrix, los autores utilizaron un servicio de mensajería instantánea anónimo protegido criptográficamente llamado bitmsg.me, pero ese servicio se ha interrumpido y los autores han vuelto a usar cuentas de correo electrónico normales.
Los ciberdelincuentes detrás de Matrix demandan el rescate en criptomoneda en forma del equivalente a un dólar de Estados Unidos. Esto es inusual, ya que las demandas de criptomoneda normalmente vienen en un valor específico en criptomoneda, no el equivalente en dólares. No está claro si la demanda de rescate es un intento deliberado en la mala dirección, o simplemente un intento de navegar violentamente fluctuando las tasas de cambio de la criptomoneda. Basado en las comunicaciones que Sophoslab tuvo con los atacantes, las demandas de rescate fueron por dos mil 500 dólares, pero los atacantes eventualmente redujeron el rescate cuando los investigadores dejaron de responder a las demandas.
Matrix es la navaja suiza del mundo del ransomware, con nuevas variantes capaces de escanear y encontrar potenciales víctimas una vez instalado en la red. Mientras que los volúmenes de muestra son pequeños, eso no lo hace menos peligroso; Matrix está evolucionando y las nuevas versiones muestran cómo el atacante está aprendiendo y mejorando con cada ataque.
En el Reporte de Amenazas de SophosLabs 2019 https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophoslabs-2019-threat-report.pdf , destaca que el ransomware dirigido estará impulsando el comportamiento de los hackers, por lo que las organizaciones deben permanecer vigilantes y trabajar para asegurarse de que no son un objetivo fácil.
Sophos recomienda implementar de inmediato las siguientes cuatro medidas de seguridad:
- Restringir el acceso a aplicaciones de control remoto como Remote Desktop (RDP) y VNC.
- Realizar análisis de vulnerabilidades regulares y pruebas de penetración en toda la red.
- Utilizar autenticación multi-factor para sistemas internos sensibles, incluso para los empleados en la LAN o VPN.
- Crear copias de respaldo que estén fuera de línea y fuera del sitio, y desarrollar un plan de recuperación ante desastres que cubra la restauración de datos y sistemas para organizaciones enteras, todos a la vez.
El reporte completo se puede consultar en “Matrix: Un informe de ransomware dirigido con un denominador común” https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-matrix-report.pdf .