Los grupos de ciberespionaje han estado sirviéndose del ransomware como táctica para dificultar la atribución de ciberataques, distraer a los defensores o para obtener una recompensa financiera como un objetivo secundario al robo de datos.
Así lo asegura un informe conjunto elaborado por los analistas de SentinelLabs y Recorded Future.
El documento presenta el caso de ChamelGang, un grupo de amenazas persistentes avanzadas (APT) chino que ha usado la cepa de ransomware CatB en ataques que impactan a organizaciones de alto perfil en todo el mundo.
Además, se ha identificado un grupo de actividades separado que utiliza BestCrypt y Microsoft BitLocker para lograr objetivos similares, aunque la atribución no está clara.
A ChamelGang también se le conoce como CamoFei y ha atacado organizaciones gubernamentales y entidades de infraestructura crítica entre 2021 y 2023, según se hace eco Bleeping Computer.
Este grupo utiliza técnicas sofisticadas para obtener acceso inicial, reconocimiento y movimiento lateral, y exfiltrar datos confidenciales.
En un ataque en noviembre de 2022, los actores de amenazas apuntaron a la Presidencia de Brasil y comprometieron 192 equipos informáticos.
En la última etapa del ataque, ChamelGang implementó el ransomware CatB en la red, colocando notas de rescate al comienzo de cada archivo cifrado. Proporcionaron una dirección de ProtonMail para el contacto y una dirección de Bitcoin para el pago.
El ataque se atribuyó inicialmente a TeslaCrypt, pero SentinelLabs y Recorded Future presentan nuevas pruebas que apuntan a ChamelGang.
Durante otro incidente a finales de 2022, ChamelGang vulneró los datos de la universidad y el hospital públicos de investigación médica All India Institute Of Medical Sciences (AIIMS). El actor de amenazas usó igualmente el ransomware CatB, lo que provocó importantes interrupciones en los servicios de atención sanitaria.
Los investigadores creen que otros dos ataques, contra una entidad gubernamental en el este de Asia y una organización de aviación en el subcontinente indio, también son obra de ChamelGang.
Desde Bleeping Computer explican que una razón de peso para involucrar ransomware en ataques de ciberespionaje podría ser que proporciona beneficios estratégicos y operativos que desdibujan las líneas entre APT y actividad cibercriminal, lo que puede conducir a una atribución incorrecta o como un medio para ocultar la naturaleza de la recopilación de datos de la operación.
Por qué usar ransomware para camuflar otras cosas
Atribuir incidentes de ransomware pasados a un actor de amenazas de ciberespionaje como ChamelGang es algo novedoso y demuestra que los adversarios están cambiando de táctica para cubrir sus huellas y al mismo tiempo lograr sus objetivos.