CIUDAD DE MÉXICO.- Existen indicios de que los grupos cibercriminales Neshta y el ahora desaparecido Avaddon colaboraron para realizar ataques más certeros, siendo una de sus víctimas la empresa mexicana de servicios aeroportuarios Talma.
Fue el grupo de seguridad ofensiva Ocelot quien encontró las primeras señales del trabajo conjunto de ambos grupos de cibercriminales, ya que el pasado 27 de mayo identificó un archivo ejecutable con el nombre exe_TALMA Mexico.exe.
De acuerdo con Miguel González, miembro de Ocelot, lo que llamó la atención de dicho archivo es que estaba infectado con el código malicioso Neshta, el cual comenzó a operar desde 2003 y lo que hace es adherirse a archivos ejecutables para evitar ser detectado.
González explicó que Neshta se usa comúnmente dentro de instaladores y persuade a las víctimas para que lo descarguen de sitios web maliciosos o comprometidos.
En este caso, se usó de forma distinta. (…) Infectaron una muestra del ransomware Avaddon, lo cual ayuda a evitar su detección, para luego cifrar los archivos de la víctima”, detalló.
La muestra encontrada lo que hace es que, cuando la víctima intenta abrir el archivo infectado, ejecuta Neshta primero, el cual reconstruirá el ejecutable original de Avaddon y lo colocará en un directorio temporal para finalmente ejecutarlo.
Para el miembro de Ocelot se trata de una operación complicada porque los atacantes deben controlar las acciones desarrolladas por Neshta para evitar disrupciones en las operaciones de Avaddon.
Para conseguir este nivel de interoperabilidad, el ransomware Avaddon requiere el código fuente de Neshta”, aseguró.
A esto se añade que Neshta es de origen bielorruso y Avaddon no infectó compañías de la Comunidad de Estados Independientes, que incluye a Bielorrusia, por lo que es probable que colaboraran en éste y otros ciberataques.
¿Y LA VÍCTIMA?
González relató que, tras la investigación inicial, consideraron que el nombre del binario “Talma” colocado en la muestra estaba relacionado con la compañía mexicana del mismo nombre.
Al revisar el foro de Avaddon donde reportaba a sus víctimas, Talma no se encontraba listada, pero el 5 de junio eso cambió porque el grupo de cibercriminales la agregó, confirmando las sospechas de Ocelot.
Como Talma se negó a pagar el chantaje, parte de su información robada por los cibercriminales fue filtrada, aunque hasta el momento la empresa mexicana no ha dado una postura sobre el tema. Miles de documentos se encuentran en la Deep Web.
UN MAL QUE CRECE
-Los pagos de ransomware se han triplicado desde 2019 a la fecha.
-En América Latina y México, los casos continúan creciendo.
-Por ejemplo, en noviembre de 2019, los sistemas de TI de Pemex se vieron comprometidos por ransomware.
-Durante 2021 se han visto ya varios ataques a diversas instituciones mexicanas, incluidos bancos, con gigabytes de información infiltradas en la Deep Web. Destaca el caso de la Lotería Nacional.
Por Aura Hernández