En septiembre de 2021 se detectó por primera vez en actividad una nueva familia de ransomware bajo el nombre Atomsilo. Los operadores de esta amenaza también lanzaron un sitio, al cual se puede acceder únicamente a través de Tor, en el cual publicaron el nombre de lo que aseguran es la primera víctima. De acuerdo a los atacantes se trataría de una compañía farmacéutica de Brasil llamada Cristália. Según afirman los criminales en su sitio, lograron robar 900 GB con información privada y sensible de la compañía y publicaron los datos para su descarga; al parecer, debido a que la compañía no pagó el rescate solicitado.

Laboratorio Cristália es un complejo industrial farmacéutico, farmacoquímico, biotecnológico y de investigación que trabaja en la producción de medicamentos. Casualmente, la compañía publicó hace unos días en su sitio web un comunicado en el que afirma haber sufrido un incidente de seguridad informático el pasado 9 de septiembre que afectó a sus sistemas y operaciones. Si bien no hicieron alusión a un ataque de ransomware, la nota podría confirmar lo que publicaron los cibercriminales en su sitio.

Imagen 1. Comunicado de la compañía en el cual confirma haber sufrido un incidente de seguridad informática en septiembre. Fuente: Cristália

Como parte de los 900 GB de datos robados y después publicados por los cibercriminales se observan imágenes de documentos de identidad, así como listas que detallan nombres, números de teléfono e información adicional sobre esas personas, así como documentos internos, detalles de análisis, entre otros.

Imagen 2. Sitio del ransomware Atomsilo en septiembre con el nombre de una única víctima.

Imagen 3. Detalles de la información que Atomsilo asegura haber publicado de la compañía brasileña

Imagen 3. Detalles de la información que Atomsilo asegura haber publicado de la compañía brasileña

Por su parte, Cristália expresó que inmediatamente luego del incidente se activaron los protocolos de seguridad para detener el ataque y mitigar cualquier impacto. Al momento de lanzar el comunicado, el laboratorio manifestó que la mayor parte de sus sistemas ya fueron reestablecidos y que sus equipos internos están trabajando en un plan de contingencia.

Acerca del ransomware Atomsilo

El 24 de septiembre, pocos días después del lanzamiento del sitio de Atomsilo, la comunidad de investigadores en seguridad comenzó a hacer referencia a través de Twitter sobre el parecido en el diseño del sitio del ransomware BlackMatter con el de Atomsilo, lo que derivó en algunas especulaciones al respecto. Igualmente, vale la pena decir que, salvo el color de fondo utilizado en el sitio de cada familia que es diferente, el resto del diseño es muy parecido; incluso algunos textos son copias exactas. Sin embargo, no se sabe hasta el momento si es casual o no.

Según algunos análisis generales publicados a partir de las primeras muestras, el ransomware cifra los archivos con la extensión .ATOMSILO. Luego del cifrado deja un archivo con la nota de rescate que se abre en el navegador y detalla las instrucciones a seguir para recuperar los archivos del cifrado y el monto a pagar en bitcoins.

 Conclusión

Como venimos diciendo desde 2020, el ransomware es una amenaza cuya actividad creció mucho y no parece detenerse, sobre todo desde que se decretó la pandemia. Desde ese entonces surgieron nuevos grupos de ransomware (la mayoría bajo el modelo de afiliados) y otros dejaron de operar. Los montos solicitados a las víctimas por el rescate aumentaron de manera estrepitosa, y los operadores detrás de cada familia comenzaron a implementar nuevas tácticas extorsivas para presionar a las víctimas para que paguen. Primero fue el doxing, pero rápidamente fueron surgiendo otras estrategias, como ataques de DDoS a las víctimas, llamadas en frío de los atacantes para convencer a las víctimas de que paguen, contactar a los clientes de la compañía atacada, la venta de la información robada, o hasta amenazar con borrar la información si llamaban a la policía.

A continuación, compartimos algunas lecturas recomendadas con recomendaciones sobre cómo reducir las posibilidades de sufrir un ataque de ransomware.