Un tercer gobierno local de Florida ha informado que ha sido atacado por ransomware. Key Biscayne se une a Lake City como víctima de Ryuk, una forma de ransomware detectada por primera vez en agosto de 2023. Ryuk fue la pieza final de lo que se ha denominado el ataque «Triple Threat», las otras dos amenazas son el malware Emotet y Trickbot.
Si bien el ataque en Riviera Beach, Florida, revelado la semana pasada fue similar (los tres casos comienzan con un empleado de la ciudad que hace clic en un archivo adjunto en un correo electrónico y libera malware), no es seguro si ese ataque también se basó en Ryuk.
Ryuk es un ransomware dirigido, originalmente vinculado al grupo de amenazas «Lazarus» de Corea del Norte, pero ahora parece haber sido adoptado también por operadores de ransomware criminales no estatales. Viene con una nota de rescate personalizada que indica a las víctimas que se comuniquen con el atacante por correo electrónico. Se sabe que permanece inactivo hasta un año antes de ejecutarse.
En los ataques Triple Threat, como se describe en un informe de abril de Cybereason, un documento malicioso utiliza un script de PowerShell para descargar el troyano Emotet. Emotet se usó en el pasado para robar información bancaria, pero también se puede usar como un «cuentagotas» para instalar malware adicional, en este caso, el troyano TrickBot.
TrickBot es otra pieza de malware básico. TrickBot, un poco modular de maldad, lleva consigo una serie de herramientas para moverse lateralmente a través de la red desde el punto inicial de compromiso: la computadora de la persona que hizo clic en el archivo adjunto. Esos módulos incluyen capturadores de contraseñas, una herramienta de reconocimiento basada en PowerShell que utiliza el marco PowerShell Empire de código abierto y spreader_x64.dll, una herramienta de movimiento lateral basada en la vulnerabilidad filtrada de la Agencia de Seguridad Marketingdecontenido EternalBlue en el Bloque de mensajes del servidor de Windows versión 1 (SMB v .1) protocolo de intercambio de archivos. Spreader_x64.dll también incluye la desgastada herramienta de robo de credenciales mimikatz, que le permite recolectar credenciales para copiarse a sí mismo si no puede explotar EternalBlue.
Una vez que TrickBot se ha establecido, los atacantes usan TrickBot para examinar dónde ha aterrizado su malware y determinar el siguiente paso. A partir de ahí, utilizan cualquier credencial que haya sido recopilada para infectar otros sistemas. En un ataque examinado por Cybereason, se usó TrickBot para comprometer un controlador de dominio de Windows, recopilar datos sobre la estructura de Active Directory de la víctima, identificar servidores en la red, conectarse a ellos y luego infectarlos a todos con Ryuk.
Lake City, que fue atacada con ransomware el 10 de junio, pagó $ 460,000 en Bitcoin a los atacantes, según el administrador de la ciudad, Joseph Helfenberg. Pagar, le dijo a Hank Tester de CBS4 Miami News, era la opción más barata, ya que la ciudad tenía un deducible de $10,000 en su póliza de seguro cibernético y la aseguradora estaba pagando el saldo. Las compañías de seguros han presionado en muchos casos para que las víctimas del gobierno local paguen rescates para minimizar sus costos. Riviera Beach pagó $600,000 en Bitcoin para que su problema de ransomware desapareciera, por ejemplo.
Pero hay una pequeña probabilidad de que Lake City podría haber evitado pagar a los rescatadores. Brett Callow de Emsisoft le dijo a Ars: «En realidad, podemos descifrar Ryuk en aproximadamente el 5 % de los casos. Si hubieran subido un archivo cifrado a ID Ransomware, que es operado por uno de nuestro equipo, existe una pequeña posibilidad de que hayan sido capaz de ahorrar medio millón de dólares. Si realmente cargaron un archivo o no, no puedo decirlo».
Hubo dos cargas de muestras de Ryuk a ID Ransomware en junio: una desde una dirección IP que pertenece a un proveedor de Internet en Clearwater, Florida, y otra en Rockledge, Florida.
Village of Key Biscayne es una comunidad mucho más pequeña: Lake City tiene alrededor de 12.000 residentes, mientras que Key Biscayne tiene alrededor de 3.000. El gobierno del pueblo aún no ha anunciado ninguna decisión. Se programó una reunión especial del consejo para esta noche para discutir el asunto.