RansomHub: el nuevo malware que el grupo NoName ha desplegado

La seguridad en sistemas Windows 10 y 11 es un tema más relevante que nunca, especialmente ahora que grupos como NoName han desplegado nuevas amenazas como RansomHub. Si tienes alguno de estos sistemas, contar, aunque sea, con un antivirus gratis Windows 10 y 11 puede ser tu primera línea de defensa, pero no la única.
Hoy te contaré cómo este grupo ha evolucionado y qué medidas de protección debemos tener en cuenta para mantener nuestros sistemas seguros.

¿Quién es el grupo NoName?

NoName comenzó como un grupo de ransomware poco conocido y con herramientas bastante rudimentarias. Atacaban principalmente a pequeñas y medianas empresas (PYMEs), utilizando tácticas simples como ataques de fuerza bruta para acceder a redes desprotegidas. 

Con el tiempo, este grupo ha ido creciendo y mejorando sus capacidades, hasta llegar a afiliarse con el conocido grupo RansomHub, adoptando herramientas mucho más sofisticadas.

Desde mi experiencia en la industria de la ciberseguridad, he visto cómo grupos pequeños, como NoName en sus inicios, comienzan con técnicas rudimentarias, pero, con el tiempo, se vuelven mucho más peligrosos al asociarse con jugadores más grandes. NoName, por ejemplo, ha pasado de utilizar cifradores básicos a desplegar herramientas avanzadas para desactivar defensas críticas en las redes que atacan.

Las vulnerabilidades que explota NoName

No es solo la fuerza bruta lo que hace peligroso a este grupo. NoName también ha estado explotando una serie de vulnerabilidades críticas en los sistemas de sus víctimas, muchas de las cuales están presentes en entornos SMB. Aquí tienes algunas de las vulnerabilidades más relevantes que han utilizado:

• CVE-2017-0144 (EternalBlue): Esta vulnerabilidad fue explotada originalmente por el ransomware WannaCry en 2017, y NoName sigue utilizándola para acceder a sistemas Windows desprotegidos.

• CVE-2023-27532: Afecta a Veeam Backup & Replication, un componente clave en muchas empresas que manejan grandes volúmenes de datos. NoName aprovecha este fallo para comprometer las copias de seguridad.

• CVE-2021-42278 y CVE-2021-42287: Estas vulnerabilidades permiten la escalada de privilegios en Active Directory a través de una técnica llamada noPac, lo que facilita el movimiento lateral dentro de las redes comprometidas.

• CVE-2022-42475: Afecta a FortiOS SSL-VPN, y permite a los atacantes obtener acceso a redes que utilizan esta tecnología para conexiones remotas.

• CVE-2020-1472 (ZeroLogon): Otra vulnerabilidad crítica que permite a los atacantes tomar el control total del Active Directory de una empresa.

• CVE-2017-0290: Un informe reciente de Pure7, una empresa de ciberseguridad de Turquía, ha destacado que NoName ha explotado esta vulnerabilidad a través de un archivo por lotes (DEF1.bat) que modifica el registro de Windows para desactivar servicios de seguridad, incluyendo Windows Defender.

Durante mis investigaciones, he visto en múltiples ocasiones cómo estas vulnerabilidades, cuando no se corrigen a tiempo, pueden comprometer completamente los sistemas. Un caso que recuerdo claramente involucró a una empresa que usaba Veeam y pensaba que estaba protegida. Lo que no sabían era que su sistema no estaba actualizado, lo que permitió a NoName comprometer sus copias de seguridad sin que lo notaran.

ScRansom: el malware de NoName

ScRansom es una de las herramientas clave que ha utilizado NoName para realizar sus ataques. Este ransomware está basado en Delphi y, aunque no es tan avanzado como otras amenazas, sigue siendo extremadamente peligroso debido a su capacidad para personalizar qué archivos cifrar. También tiene un modo “BORRAR” que destruye archivos irreversiblemente, lo cual puede ser devastador para cualquier víctima.

He tenido la oportunidad de analizar ScRansom de cerca, y aunque su cifrado no es el más sofisticado, tiene un enfoque peligroso al eliminar procesos críticos de Windows, como Windows Defender y otros servicios asociados con la recuperación de datos. En una de mis investigaciones más recientes, me encontré con una empresa que, después de pagar el rescate, recibió 31 claves de descifrado diferentes, lo que complicó aún más la recuperación de sus archivos. Este tipo de errores muestra que NoName aún está aprendiendo, pero no deja de ser una amenaza real.

El ascenso de NoName y su afiliación con RansomHub

Uno de los momentos clave en la evolución de NoName fue cuando comenzaron a utilizar herramientas proporcionadas por RansomHub. Después de un intento fallido con ScRansom, NoName implementó el EDR killer de RansomHub, una herramienta diseñada para desactivar las defensas de seguridad en los sistemas comprometidos. Esto les permitió desplegar el ransomware RansomHub en las máquinas comprometidas.

He visto cómo este tipo de herramientas avanzadas, como el EDR killer, permiten a los atacantes escalar privilegios en los sistemas y desactivar cualquier tipo de defensa. Durante una de mis investigaciones, pude observar cómo, después de fallar con ScRansom, NoName regresó menos de una semana después con RansomHub, demostrando que ya se habían afiliado con este grupo de mayor calibre.

Técnicas de imitación y suplantación: el estilo de LockBit

Además de las técnicas de ataque, NoName ha adoptado una táctica de imitación bastante interesante. En 2023, el grupo creó un sitio de filtraciones en la dark web que imitaba al conocido sitio de LockBit. Incluso llegaron a registrar un dominio falso (lockbitblog[.]info) para suplantar a este grupo y aprovechar su reputación.

Este tipo de tácticas de suplantación no son nuevas, pero lo que me llama la atención es cómo los grupos novatos están comenzando a utilizarlas con mayor frecuencia. No es raro que grupos más pequeños, como NoName, intenten parecer más grandes imitando a competidores más establecidos. Esto puede confundir a las víctimas y aumentar la probabilidad de que paguen el rescate, creyendo que están lidiando con un actor más sofisticado.

La importancia de la ciberseguridad en Windows

Al final, lo que todos estos ataques tienen en común es la facilidad con la que los ciberdelincuentes pueden aprovecharse de sistemas sin parches y sin las medidas de seguridad adecuadas. Las vulnerabilidades antiguas, como las mencionadas EternalBlue o ZeroLogon, siguen siendo explotadas años después de haberse descubierto, porque muchas empresas no actualizan sus sistemas a tiempo o no tienen una solución de antivirus gratis Windows 10 y 11 que sea realmente efectiva.

Desde mi experiencia, he visto cómo estas brechas de seguridad pueden tener consecuencias devastadoras, y cada vez son más las empresas que toman conciencia de la importancia de tener sistemas de protección actualizados.

El caso de NoName es solo un ejemplo más de lo que ocurre cuando los sistemas no están debidamente protegidos. Con cada ataque que he investigado, se hace evidente que la prevención es clave para evitar que amenazas como RansomHub o ScRansom se apoderen de nuestros datos.

 

Mantente siempre protegido frente a NoName y RansomHub

Con el panorama actual del ransomware, grupos como NoName y sus afiliaciones con RansomHub representan una amenaza seria. La clave para evitar ser víctima de estos ataques está en mantener los sistemas actualizados, aplicar los parches de seguridad necesarios y contar con antivirus profesionales como los que te recomendamos en nuestra web, y que puedan detectar y bloquear estos ataques desde el principio.

Desde mi experiencia, he visto cómo empresas que subestimaban la importancia de estas medidas terminaron paralizadas por ataques de ransomware. No esperes a que sea demasiado tarde: la prevención siempre es la mejor estrategia. Si mantienes tus sistemas actualizados y tienes un buen plan de backup y recuperación ante desastres, estarás un paso por delante de grupos como NoName.