Cobalt Strike y Sodinokibi, juntos contra los puntos de venta

No, no, pese a que pueda parecer lo contrario no me he confundido, sé que Cobalt Strike no es un malware per se (aunque muchas compañías de seguridad sí que lo consideren como tal), mientras que Sodinokibi sí que es un temible patógeno, uno de esos que mejor si no se cruzan nunca en tu camino. Algo que, desgraciadamente sí que le ha pasado a empresas como Travelex, a la que el encontronazo (sumado a una política un tanto negligente, todo hay que decirlo) le costó 2,3 millones de dólares.

Cobalt Strike, por si no lo conoces, es un popular software de pentesting, que permite realizar un conjunto predefinido de pruebas para valorar la seguridad de una infraestructura IT. El problema, claro, es que este tipo de soluciones pueden (y deben) ser empleadas en el contexto de las pruebas de seguridad, pero debido a sus funciones, también pueden ser usadas con aviesas intenciones. Y, claro, su potencial como amenaza es bastante grande, puesto que su función principal es encontrar las rendijas por las que colarse en una infraestructura.

Y en esa línea, hemos sabido por Symantec de una nueva campaña protagonizada por  Sodinokibi, en la que el popular ransomware se apoya en Colbalt Strike, sacando partido de sus avanzadas capacidades de análisis de seguridad, con el fin de lograr acceso a los sistemas que posteriormente intentará secuestrar. De momento se han detectado tres ataques en los que se demandan 100.000 dólares a las víctimas, cantidad que puede verse reducida a la mitad si el pago se efectúa durante las primeras 48 horas desde que se secuestran los sistemas.

Un aspecto particularmente interesante de este ataque, y que nos pone sobre alerta sobre lo que puede venir en el futuro, es que se ha incluido en el mismo el software de los puntos de venta (PoS) gestionados por la compañía atacada. No existen precedentes de ataques de ransomware en los que se haya apuntado a este tipo de software. Algo que sin duda es una mala noticia, aún sin tener clara la intencionalidad de los atacantes al llevar a cabo esta acción.

A este respecto son dos las principales hipótesis que se formulan. La primera es que se trate de un plan B., en el caso de que la víctima sea incapaz de pagar el rescate planteado. En tal caso, los atacantes, dado que exfiltran la información antes de cifrarla a los sistemas del atacante, podrían emplearla para intentar hacerse con información de medios de pago y demás. Y claro, de este modo, intentar «monetizar» esa información, ya sea de manera directa (si, por ejemplo, se obtienen datos de tarjetas) o indirecta, poniendo dicha información a la venta en el mercado negro.

Otra posibilidad, incluso más siniestra para las empresas atacadas, es extender el ataque a los puntos de venta o, más concretamente, al software de gestión de los mismos. Y es que basta con pararse unos segundos a pensar las consecuencias que puede tener un ataque que bloquee todos los puntos de venta de cualquier grupo comercial o, como mínimo, el software responsable del volcado de datos de los PoS a los servidores. Las consecuencias pueden ser realmente serias.

La entrada Cobalt Strike y Sodinokibi, juntos contra los puntos de venta es original de MuySeguridad. Seguridad informática.