Para quien no lo conozca, Quantum es un ransomware que cifra los archivos y añade la extensión ‘quantum’ a los nombres de los ficheros. También genera un archivo HTML denominado ‘README_TO_DECRYPT.html’ que contiene una petición de rescate.
Sin embargo, si por algo destaca este ransomware es por ser atípico. Frente a otros grupos de ciberdelincuentes, cuyo objetivo son las infraestructuras, los responsables de Quantum se inclinan más por los usuarios y en los últimos meses han sido noticia por la velocidad de sus ataques. De hecho, según varios informes internacionales, Quantum es uno de los ransomware más rápidos jamás observados, y sobresale también por el tipo de herramientas utilizadas.
Tras entrar en la red objetivo, comprometiendo el endpoint del usuario con una carga útil IcedID dentro de una imagen ISO, los delincuentes del Grupo Quantum distribuyen el ransomware en menos de cuatro horas. Su propósito es el robo de datos y amenazan a las víctimas con divulgar públicamente la información sustraída si no satisfacen un rescate, sabiendo que esto afectaría a la reputación de la empresa.
Pese a ello, cuidar la imagen no es un cometido exclusivo de la compañía. Si una víctima cumple y los ciberdelincuentes deciden publicar los datos, es muy probable que más adelante les sea muy difícil convencer a nuevos objetivos de que lo hagan. Se trata, al fin y al cabo, de una cuestión de reputación.
Rápido, ágil, único…
Hay aspectos de Quantum y de la agrupación responsable que son realmente únicos. Uno de ellos, ya citado, es la velocidad del ataque. En comparación con Conti, la banda de ransomware más peligrosa del momento, y para la que se contabilizan entre 30 y 40 días desde la fase inicial del ataque, con Quantum se habla potencialmente de horas.
En cuanto a sus objetivos, estos suelen ser instituciones públicas, aunque sin destacar un tipo específico, ya que las agresiones detectadas abarcan desde energía hasta transporte y autoridades públicas.
Según varios informes internacionales, Quantum es uno de los ransomware más rápidos jamás observados
Otro factor notable es su modo de actuar: funcionan como un ente único y sin explotar un número significativo de afiliados en la primera fase.
Y es que frente a los grandes nombres del mercado del ransomware, que operan en una especie de modelo de franquicia, compartiendo herramientas y técnicas y enseñando a otros delincuentes a encontrar puntos débiles y fugas de datos dentro de las redes de las víctimas, el grupo Quantum se responsabiliza de todas las fases del ataque. No en vano, se calcula que está formado por unas 30 personas.
La «geografía» y «economía» de Quantum
Por lo general, al investigar este tipo de atacantes es posible identificar las horas en las que suelen estar activos y los husos horarios en los que actúan.
Cuando se trata de Quantum, todo parece indicar que operan en GMT+5 o GMT+4, lo cual es típico de Europa del este. Y en lo que respecta al tema económico, parece que, por el momento, la mayoría de los incidentes implican peticiones de rescate de alrededor de 200.000 dólares. No obstante, según algunos afectados, ha habido casos en los que inicialmente se ha solicitado el doble, para finalmente rebajarlo hasta dicha cantidad o incluso hasta los 150.000 dólares. Por otro lado, señalar que es más económico que Conti o REvil.
Al respecto de los sitios que utilizan para «publicar» parte de los datos robados o bloqueados, cuentan con un enlace directo a una web del navegador Tor, donde filtran los datos. Actualmente, el sitio contiene los datos de unas 20 víctimas.
Por qué hay que ser muy cuidadoso
En general, tanto Quantum como la banda que lo gestiona representan una seria amenaza por sus ya comentadas características: rapidez, eficacia extrema, rescate limitado, estructura ágil…
Aunque de momento todo parece indicar que no se convertirán en una franquicia, como la banda de ransomware BitPaymer, es presumible que, en algún momento, sus integrantes se separen, máxime, según obtengan más dinero.
En este sentido, y echando la vista atrás, se observa que Quantum ya ha tenido diferentes nombres. Probablemente porque sus miembros se disgregaron o se actualizó la infraestructura. También es importante subrayar que cuando un grupo de ciberdelincuentes consigue capital y se hace grande y poderoso, es más complicado que siga actuando en solitario al despertar el interés de determinados organismos (Interpol, FBI, etc.) y empresas que observan e intentarán detenerlos.
En NetWitness estamos intensificando nuestras acciones de vigilancia y apoyo a las organizaciones. Ahora más que nunca es principalmente una cuestión de tiempo, sensibilidad y eficacia de las acciones de respuesta.
La entrada ‘Ransomware’ Quantum: Anatomía de un ‘malware’ rápido y único se publicó primero en Redseguridad.
