Stefano Maccaglia, Jefe de Respuesta a Incidentes para EMEA en NetWitness

Para quien no lo conozca, Quantum es un ransomware que cifra los archivos y añade la extensión '.quantum' a los nombres de los ficheros. También genera un archivo HTML denominado 'README_TO_DECRYPT.html' que contiene una petición de rescate...

Sin embargo, si por algo destaca este ransomware, es por ser atípico. Frente a otros grupos de ciberdelincuentes cuyo objetivo son las infraestructuras, los responsables de Quantum se inclinan más por los usuarios, y en los últimos meses han sido noticia por la velocidad de sus ataques. De hecho, según varios informes internacionales, Quantum es uno de los ransomwares más rápidos jamás observados, y sobresale también por el tipo de herramientas utilizadas.

Tras entrar en la red objetivo, comprometiendo el endpoint del usuario con una carga útil IcedID dentro de una imagen ISO, los delincuentes del 'Grupo Quantum’ distribuyen el ransomware en menos de cuatro horas. Su propósito es el robo de datos, y amenazan a las víctimas con divulgar públicamente la información sustraída si no satisfacen un rescate, sabiendo que esto afectaría a la reputación de la empresa.

Sin embargo, a menudo no pensamos en ello, pero mantener una buena reputación también es importante para los propios ciberdelincuentes, porque si una víctima paga y la banda de ransomware pierde sus datos de todos modos, será muy difícil para ellos convencer a las futuras víctimas de que paguen... Es precisamente una cuestión de reputación.

Rápido, ágil, único... lo más inquietante de Quantum

Hay aspectos de Quantum y de la agrupación responsable, que son realmente únicos.

Uno de ellos -ya citado- es la velocidad del ataque. En comparación con Conti, la banda de ransomware más peligrosa del momento, y para la que se contabilizan entre 30-40 días desde la fase inicial del ataque, con Quantum se habla potencialmente de horas.

En cuanto a sus objetivos, estos suelen ser instituciones públicas, aunque sin destacar un tipo específico, ya que las agresiones detectadas abarcan desde energía hasta transporte y autoridades públicas.

Otro factor notable es su modo de actuar, ya que funcionan como un ente único y sin explotar un número significativo de afiliados en la primera fase.

Y es que, frente a los grandes nombres del mercado del ransomware, que operan en una especie de modelo de franquicia: compartiendo herramientas, técnicas y enseñando a otros delincuentes a encontrar puntos débiles y fugas de datos dentro de las redes de las víctimas, el grupo Quantum se responsabiliza de todas las fases del ataque. Sobre su dimensión, se calcula que está formado por unas 30 personas.

La "geografía" y la "economía" de Quantum

Por lo general, al investigar este tipo de atacantes, es posible identificar la hora en que suelen estar activos y el huso horario en el que actúan.

Cuando se trata de Quantum, todo parece indicar que operan en GMT+5 o GMT+4, lo cual es típico de Europa del Este. En lo que respecta al tema económico, parece que, por el momento, la mayoría de los incidentes implican peticiones de rescate de alrededor de 200.000 dólares. No obstante, según algunos afectados, ha habido casos en los que inicialmente se ha solicitado el doble, para finalmente rebajarlo hasta dicha cantidad o incluso hasta los 150.000 dólares. Por otro lado, señalar que es más económico que Conti o REvil.

Al respecto de los sitios que utilizan para "publicar" parte de los datos robados o bloqueados, cuentan con un enlace directo a una web del navegador “Tor” donde filtran los datos. Actualmente, el sitio contiene los datos de unas 20 víctimas.

Por qué hay que ser muy cuidadoso

En general, tanto Quantum como la banda que lo gestiona representan una seria amenaza por sus -ya comentadas- características: rapidez, eficacia extrema, rescate limitado, estructura ágil...

Aunque, de momento, todo parece indicar que no se convertirán en una franquicia, como la banda de ransomware BitPaymer, es presumible que, en algún momento, sus integrantes se separen, máxime, según obtengan más dinero.

En este sentido, y echando la vista atrás, se observa que Quantum ya ha tenido diferentes nombres, probablemente porque sus miembros se disgregaron o se actualizó la infraestructura. También es importante subrayar que, cuando un grupo de ciberdelincuentes consigue capital y se hace grande y poderoso, es más complicado que siga actuando en solitario, al despertar el interés de determinados organismos (Interpol, FBI, etc.) y empresas que observan e intentarán detenerlos.

En NetWitness estamos intensificando nuestras acciones de vigilancia y apoyo a las empresas. Ahora más que nunca es principalmente una cuestión de tiempo, sensibilidad y eficacia de las acciones de respuesta.