¿Quién es NoEscape, grupo cibercriminal de ransomware que vulneró recientemente a Educal en México?
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
El pasado 7 de septiembre se dio a conocer que Educal había sido víctima de un ciberataque de ransomware, en el cual se extrajeron aldedor de 50 GB de documentos confidenciales, entre los que se encuentran tarjetas de identificación, inventario, contratos, información de recursos humanos, comisiones, auditorías, carteras de clientes, bases de datos y mucha otra información importante.
Educal es una organización que distribuye los fondos editoriales del Conaculta, del Subsistema de Preparatoria Abierta de la Secretaría de Educación Pública y de una centena de instituciones culturales estatales, universidades, centros de investigación, entre otros.
Hay que resaltar que Educal es la responsable de garantizar el abasto en todo el país de los libros de programa de Preparatoria Abierta que tiene una matrícula de casi 2 millones de estudiantes. También realiza la distribución y comercialización en México por medio de una Red Nacional de Librerías propias, actualmente constituida por más de 90 puntos de venta en los 31 estados y el Distrito Federal, así como diez Librerías Móviles (Librobús).
El ataque fue perpetrado por el grupo cibercriminal de ransomware conocido como NoEscape.
¿Quién es NoEscape?
NoEscape ransomware apareció en mayo de 2023 y se distingue como un ransomware como servicio (RaaS). A diferencia de muchos de sus contemporáneos, los desarrolladores de NoEscape afirman que han construido el malware y su infraestructura asociada completamente desde cero, evitando deliberadamente el uso de código fuente o filtraciones de otras familias de ransomware establecidas.
Actualmente, los operadores de NoEscape proporcionan a sus afiliados una plataforma integral que facilita la creación y gestión de cargas útiles adaptadas a los sistemas operativos Windows y Linux. Además, NoEscape es reconocido por sus tácticas de extorsión múltiple, manteniendo un blog basado en TOR para enumerar públicamente a sus víctimas y mostrar los datos exfiltrados de aquellos que se resisten a satisfacer sus demandas.
Como se mencionó, NoEscape opera como ransomware-as-a-Service (RaaS), lo que significa que proporciona una plataforma para que los afiliados creen y administren cargas útiles de ransomware. El funcionamiento del ransomware se basa en un modelo de beneficio compartido. Por ejemplo, cualquier rescate recaudado de más de 3 millones de dólares resulta en una división 90/10 a favor de los afiliados. El porcentaje cambia con montos de rescate más bajos, como una división 80/20 para un pago de un millón de dólares.
En términos de sus capacidades técnicas, el ransomware NoEscape admite múltiples modos de cifrado, incluido el completo, el rápido o el seguro. Aprovecha algoritmos de cifrado como RSA y ChaCHA20 para cifrar archivos. El ransomware tiene características como terminación de procesos, operación en modo seguro, propagación y cifrado a través de SMB o DFS, y el uso del Administrador de reinicio de Windows para evitar cualquier proceso que pueda bloquear el proceso de cifrado. Una característica única es el cifrado compartido, que permite utilizar una única clave de cifrado en todos los archivos infectados en una red, lo que facilita un cifrado eficiente y un descifrado rápido si se paga el rescate.
Nexos entre NoEscape y Avaddon
En mayo de 2021, el grupo ransomware Avaddon anunció que la Lotería Nacional de México se había convertido en una de sus víctimas.
Avaddon, un notorio grupo de ransomware como servicio que surgió a principios de 2019, era conocido por sus tácticas de doble extorsión. No sólo cifró los archivos de las víctimas, sino que también amenazó con hacer públicos los datos robados. El modus operandi de Avaddon implicaba apuntar a una amplia gama de sectores, incluidos atención médica, gobierno, servicios financieros, legal, hotelería, educación y comercio minorista. Curiosamente, mientras Avaddon estuvo activo, algunos de sus afiliados se centraron en objetivos individuales en lugar de grandes corporaciones. El ransomware tenía mecanismos integrados para evitar ataques en ciertos países de la ex Unión Soviética, principalmente aquellos que todavía están alineados con Rusia.
Sin embargo, en 2021, Avaddon cesó sus operaciones y se entregaron claves de descifrado a todas sus víctimas. Este cese marcó el fin de una amenaza pero allanó el camino para otra. NoEscape Ransomware apareció en junio de 2023 y sus tácticas y operaciones tenían un parecido sorprendente con Avaddon. Las similitudes entre los dos no son sólo coincidencias.
Varios puntos resaltan los nexos entre Avaddon y NoEscape, entre ellos se encuentran:
Similitudes de cifrado: los cifradores Avaddon y NoEscape son casi idénticos. La principal diferencia radica en el algoritmo de cifrado. Mientras que Avaddon utilizó AES para el cifrado de archivos, NoEscape adoptó el algoritmo Salsa20. A pesar de esta diferencia, la lógica de cifrado y los formatos de archivo utilizados por ambos ransomware son sorprendentemente similares.
Superposiciones de configuración: ambos ransomware utilizan el mismo archivo de configuración y directivas, lo que consolida aún más la creencia en sus orígenes entrelazados.
Semejanza táctica: la estrategia general de NoEscape refleja la de Avaddon. Desde obtener acceso a redes corporativas hasta emplear tácticas de doble extorsión, los paralelismos son evidentes.
Exenciones geográficas: al igual que Avaddon, NoEscape se abstiene de apuntar a países de la ex Unión Soviética. Las víctimas de estas regiones reciben claves de descifrado gratuitas.
Posible cambio de marca: La aparición de NoEscape poco después del cese de Avaddon, combinada con las similitudes antes mencionadas, sugiere un posible cambio de marca. Se cree que los actores clave de la campaña Avaddon se han integrado ahora en el grupo NoEscape.
Aunque NoEscape se presenta como una nueva amenaza, sus raíces se remontan a la banda de ransomware Avaddon. Incluso ¿podría existir la posibilidad de que las tácticas, técnicas y procedimientos de Avaddon hayan servido de base para los ataques de NoEscape? ¿Podría entonces haber más ataques de este tipo en México?
Para más información, visite: https://www.silikn.com/