El febrer de 2024, l’«Operació Cronos», una acció conjunta de les forces de seguretat de tot el món liderada per l’Agència Nacional contra el Crim britànic i l’FBI nord-americà, va aconseguir el control de la infraestructura d’atacs de la tristament famosa organització de programari de segrest Lockbit, considerada el «grup de cibercriminals més nociu del món». La comunitat de la ciberseguretat va sospirar alleujada i molts van creure que s’havia posat fi a un malson. Tot i això, la realitat va demostrar el contrari: menys d’una setmana després, el grup operador de programari de segrest com a servei tornava a estar operatiu amb un lloc web nou on apareixien cinc víctimes i comptadors de compte enrere per a la publicació de la informació robada.

Aquesta reaparició no és pas un cas atípic. Aquests grups d’amenaces despleguen cada cop més una infraestructura d’atac avançada i còpies de seguretat completes que els permeten tornar a operar. Posaré tres exemples recents que demostren la resistència d’aquests grups a les accions de les forces de l’ordre.

La capacitat de recuperació de Lockbit

Resulta irònic que, per aconseguir el control del lloc web de LockBit, les autoritats utilitzessin la CVE-2023-3824, una vulnerabilitat que afectava PHP i que reflectia un dels principals vectors d’atac utilitzats pel grup LockBit, més concretament l’explotació de vulnerabilitats. Segons l’autor d’amenaces, «la negligència i la irresponsabilitat personals» van provocar un retard en l’aplicació del pedaç i van fer possible la presa del control. Tot i això, la tornada a l’activitat de LockBit es va veure facilitada per la disponibilitat de còpies de seguretat, una bona pràctica essencial per a qualsevol organització. Després del desmantellament, LockBit va confirmar la bretxa, però també va afirmar que només havien perdut els servidors que executaven PHP, mentre que els seus sistemes de còpia de seguretat sense PHP romanien intactes.

Abans del tancament efímer, LockBit era una de les principals amenaces per al sector financer. Com es podria esperar, els atacs duts a terme a través del grup de programari de segrest LockBit i les seves variants van continuar al llarg del 2024, fins i tot després del cop. Aquesta persistència es va deure en part a una altra complicació força comuna en el panorama de les amenaces: el codi font del creador del codi maliciós ja havia estat filtrat en línia per un desenvolupador molest, donant lloc a múltiples variants que segueixen assolant empreses de tot el món , alimentades per la contínua explotació de vulnerabilitats.

L’existència de còpies de seguretat indica que els atacants van construir una infraestructura amb capacitat de recuperació i un pla de contingència, anticipant-se a la possibilitat de ser intervinguts. En el fons, la ciberdelinqüència és un negoci, així que els autors de les amenaces adopten les millors pràctiques que tota empresa hauria de seguir, construint infraestructures robustes per garantir la protecció davant d’interrupcions o esdeveniments pertorbadors, com el desmantellament per part de les forces de seguretat. Aquest fet ens serveix d’advertència, tot recordant-nos que encara que les forces de l’ordre desmantellin una infraestructura delictiva, l’operació pot no haver acabat per sempre.

La intervenció contra BlackCat

Un segon exemple de la resistència de les infraestructures malicioses és un cas anàleg relacionat amb una altra operació de programari de segrest. El desembre del 2023, les forces de seguretat liderades per l’FBI nord-americà -i en què participaven cossos del Regne Unit, Dinamarca, Alemanya, Espanya i Austràlia- van confiscar la infraestructura de BlackCat/ALPHV. Tot i això, dos mesos després, el grup de programari de segrest va reaparèixer inesperadament i va reivindicar l’autoria de diversos atacs de gran envergadura en els sectors financer i sanitari.

Un matís interessant d’aquest retorn va ser l’atac contra Change Healthcare, que es va saldar amb el pagament per part de l’organització víctima d’un rescat de 22 milions de dòlars en Bitcoins. Dos dies després del pagament, van sorgir acusacions que el responsable de l’operació de programari de segrest havia estafat altres socis traient-los la seva part de la recompensa, i quatre dies després del pagament (dos dies després de les acusacions), l’FBI i altres forces de seguretat semblaven haver tornat a prendre el control de la pàgina de filtracions. No obstant això, les forces de seguretat van negar qualsevol implicació en aquest segon tancament i aquest punt, juntament amb el fet que la pàgina que va aparèixer al lloc de filtracions després del segon tancament aparent semblava una còpia de l’original de la presa de control de desembre de 2023, va fer que els experts especulessin que els actors d’amenaces podrien haver executat una estratègia de sortida: contents d’abandonar l’escenari amb 22 milions de dòlars a la butxaca, trencant relacions amb els seus socis i venent potencialment el codi font del programari de segrest com a servei per 5 milions de dòlars, una pràctica comuna utilitzada recentment pel grup de programari de segrest Knight 3.0. Aquestes proves suggereixen que l’aparició de variants ampliarà el cicle de vida d’aquest codi maliciós molt més enllà de la fi de l’operació original.

La manera com sembla haver acabat aquesta història fa pensar que les organitzacions delictives no només són resistents i sovint capaces de sobreviure als intents de desarticulació de les forces de l’ordre, sinó també que els implicats poden decidir abandonar l’escena voluntàriament. Poden fer-ho perquè creuen que han aconseguit el seu objectiu lucratiu o perquè consideren que les condicions existents ja no els són favorables. En el cas de BlackCat/ALPHV, es pensa que la inestabilitat del preu del Bitcoin, o fins i tot un possible canvi d’orientació cap a altres objectius, com Ucraïna (atès que els autors de l’amenaça són d’origen rus), poden haver influït en la seva decisió de tancar l’operació.

Escapant de les forces de seguretat

Els casos de reaparició d’operacions malicioses després dels intents de desmantellament per part de les forces de seguretat no es limiten a les operacions de programari de segrest. Un tercer exemple destacable és el desmantellament fugaç de la coneguda xarxa de bots Qakbot a través de l’Operació Duck Hunt, duta a terme per les forces de seguretat el 2023. Qakbot és una de les armes més flexibles per als actors d’amenaces a causa de la seva naturalesa modular, que li permet distribuir múltiples càrregues útils malicioses, incloses diverses soques de programari de segrest, cosa que es tradueix en centenars de milions de dòlars en danys. Com era previsible, aquesta victòria va ser de curta durada. Tot just dos mesos després de l’operació policial, els autors de l’amenaça van tornar a condicionar ràpidament la seva infraestructura per distribuir noves càrregues perjudicials.

També es van detectar noves campanyes de Qakbot, que incloïen noves variants que milloraven el codi maliciós (programari maliciós). Entre aquestes campanyes, l’octubre del 2023 es va trobar una distribució al sector de l’hostaleria d’eines d’accés remot Cyclops i Remcos a través de documents PDF maliciosos sota l’aparença de comunicacions falses de l’agència tributària nord-americana, a més d’un fals instal·lador de Windows el gener de 2024. Segons Netskope Threat Labs, Qakbot va ser una de les principals amenaces dirigides al sector detallista entre març de 2023 i febrer de 2024, fet que demostra la resistència i flexibilitat d’una infraestructura d’atac.

Romandre alertes

La ciberdelinqüència és un gran negoci, i els ciberdelinqüents disposen de grans mitjans per crear amenaces cada cop més sofisticades i resistents. Per combatre aquests atacs sofisticats, les organitzacions han d’adoptar una estratègia de seguretat integral que sigui permanent, generalitzada i resistent. Això implica la implantació de defenses multicapa, una supervisió constant, la detecció d’amenaces a temps real i la realització d’avaluacions periòdiques de la seguretat.  A més, no estaria de més seguir l’exemple i les lliçons apreses d’aquests actors d’amenaces tan resistents, fomentar una cultura de conscienciació sobre la ciberseguretat i mantenir els sistemes actualitzats i amb uns plans sòlids de resposta davant d’incidents i recuperació davant de desastres. És indispensable eliminar tots els punts cecs en matèria de ciberseguretat, perquè fins i tot les vulnerabilitats menors poden donar lloc a bretxes importants. Les organitzacions han d’estar preparades per defensar-se contra tota mena d’amenaces i grups d’atac.