Reaparece el ransomware Meow

Por César López Hormazábal y Hernán Espinoza Medina
Meow_ransom

A fines del 2022, el grupo de ransomware Meow tuvo sus primeras apariciones. Pero ya en marzo de 2023 se lanzó un descifrador gratuito que impidió que continuara operando.

Sin embargo, la sorpresa llegó el segundo semestre de 2024, al presentar un incremento significativo en sus operaciones, posicionándose como el segundo grupo de ransomware más activo en el mundo y el responsable del 9% de los ataques, de acuerdo a cifras entregadas por Check Point.

En el CSIRT de Gobierno quisimos analizar esta amenaza emergente que ya ha afectado a varias organizaciones a nivel mundial, incluyendo a Chile, siendo un riesgo latente para los sectores estratégicos y de infraestructura crítica de los países, considerando que una de sus características principales son las tácticas avanzadas de doble extorsión que usa.

Más antecedentes del ransomware Meow

El ransomware Meow es una variante altamente sofisticada que emplea técnicas avanzadas de cifrado y exfiltración de datos, permitiendo la ejecución de ataques de doble extorsión. Basado en el algoritmo de cifrado ChaCha20, esta amenaza es capaz de cifrar de manera selectiva archivos críticos, donde puede excluir archivos ejecutables y de texto, con el fin de maximizar el impacto sin comprometer la estabilidad del sistema.

El vector de infección primario incluye RDP expuestos a internet o desprotegidos, como así también campañas de phishing dirigidas, aprovechando las fallas de seguridad en la infraestructura de la red y en la poca capacitación de los usuarios. Meow no explota una vulnerabilidad específica, pero sí se enfoca en brechas de seguridad comunes, lo que subraya la importancia de una configuración segura y de aplicar parches críticos.

Los principales sectores que este ransomware afecta suelen ser aquellos que manejan grandes volúmenes de datos sensibles y que dependen de sistemas operativos críticos, tales como el sector financiero, salud, infraestructura crítica y empresas del ámbito industrial. Las capacidades que tiene Meow para exfiltrar y cifrar información convierte a estos sectores en objetivos prioritarios, ya que la interrupción de sus operaciones tiene un alto costo y los vuelve susceptibles a cumplir con las demandas de rescate.

Basado en el código fuente filtrado de Conti v2, esta variante ha sido adaptada para explotar configuraciones de seguridad deficientes en sistemas empresariales y personales.

Origen y evolución de Meow

Meow es parte de una reciente tendencia en los métodos de exfiltración para aumentar la presión sobre las víctimas. Originalmente, derivado del código fuente filtrado de Conti V2, Meow ha adaptado sus técnicas y tácticas a las vulnerabilidades actuales, evitando depender de vulnerabilidades específicas, para explotar configuraciones inseguras y a usuarios desprevenidos. El crecimiento ha sido muy rápido, afectando a varios países y demostrando la capacidad de evolución que complica su detección.

¿Cómo se propaga Meow?

Si bien usa varios métodos para propagarse y comprometer sistemas completos, aprovecha también debilidades en la infraestructura y tácticas de ingeniería social. Algunas de ellas son:

Acceso remoto no seguro (RDP): La explotación de configuraciones inseguras de RDP es uno de los principales métodos de propagación de Meow. En este caso, los atacantes escanean redes para identificar servidores expuestos con RDP habilitado y configuraciones débiles, lo que permite entrar en el sistema sin necesitar vulnerabilidades específicas.

Descargas maliciosas y enlaces fraudulentos: Se emplean sitios web comprometidos y redes de publicidad engañosa para poder expandirse. Esta táctica consiste en insertar enlaces de descarga maliciosa en sitios legítimos o en anuncios en línea que redirigen a las víctimas a sitios falsos.

Falta de actualización en aplicaciones y sistemas: Como mencionamos anteriormente este ransomware no explota vulnerabilidades específicas, si no que se aprovecha de la presencia de software y sistemas operativos sin actualizar. Si bien las aplicaciones desactualizadas pueden contener vulnerabilidades conocidas que los atacantes podrían utilizar para propagar el ransomware sin la necesidad del usuario. Esto habla de lo importante que son las actualizaciones de seguridad.

Próximos pasos y recomendaciones

Este panorama resalta la importancia de mantenernos atentos y preparados frente a las actividades de grupos de ciberdelincuentes, como aquellos detrás del ransomware Meow, que representan un desafío para la infraestructura digital, especialmente en sectores como los servicios públicos, la salud y la administración pública.

Algunos análisis de ciberseguridad sugieren que ciertos países de Latinoamérica han experimentado intentos de ataque con variantes de ransomware, subrayando la necesidad de fortalecer las capacidades de ciberdefensa y adoptar medidas de seguridad efectivas para proteger la infraestructura crítica y los sistemas de información de las organizaciones.

Para proteger a las instituciones, es de vital importancia que tanto el sector público como privado adopten una postura más proactiva en temas de ciberseguridad, la que debe incluir tecnologías de protección, un marco de políticas, procesos y capacitación de los colaboradores para mejorar la resistencia a futuros ataques.

Para los sectores más críticos como los servicios públicos y de salud, es imprescindible establecer y practicar regularmente planes de contingencia y de recuperación ante incidentes. Éstos deben incluir el proceso de respaldo de datos offline que permitan restaurar la operatividad del negocio, sin la necesidad de pagar un posible rescate.

Otros aspectos a considerar son:

Gestión de acceso y autentificación

  • Implementar autenticación multifactor (MFA) para todas las cuentas, especialmente aquellas con acceso a sistemas críticos o configuraciones administrativas.
  • Restringir el acceso remoto mediante VPN seguras y establecer controles estrictos en el uso del Protocolo de Escritorio Remoto (RDP), como limitar el acceso por direcciones IP de confianza.
  • Deshabilitar cuentas de usuario inactivas y aplicar principios de mínimo privilegio, otorgando a cada usuario solo los permisos necesarios para realizar su trabajo.

Respaldo de datos y recuperación

  • Establecer un proceso riguroso de respaldo periódico de datos, almacenando copias offline en entornos seguros y desconectados de la red principal para evitar su cifrado por ransomware.
  • Probar regularmente la restauración de datos desde respaldos para garantizar la recuperación operativa en caso de un ataque.
  • Mantener un inventario actualizado de los sistemas críticos y priorizar su inclusión en los planes de respaldo.

Cifrado y segmentación de redes

  • Asegurar que los datos sensibles estén protegidos con cifrado tanto en tránsito como en reposo.
  • Implementar segmentación de red para limitar la propagación de un posible ataque y evitar que los sistemas críticos sean comprometidos desde redes menos seguras.

Como siempre, el CSIRT de Gobierno continuará monitoreando el comportamiento de este ransomware y de otras amenazas emergentes. Nuestro compromiso es mantener y proporcionar información actualizada y recomendaciones prácticas a nuestras instituciones con el fin de ayudar a construir una postura de ciberseguridad más sólida y preventiva.

Escrito por
César López Hormazábal
Analista de Malware
Soy ingeniero en conectividad y redes, y estoy estudiando ingeniería en ciberseguridad y auditoría informática. Me apasionan la seguridad industrial y el análisis de malware, y siempre estoy al tanto de las últimas noticias tecnológicas. En mi tiempo libre, disfruto del modelismo, construyendo tanques y aviones a escala, y jugando juegos en línea como War Thunder. Me encanta explorar nuevos lugares y disfrutar de las cosas simples de la vida. Mis tiempos libres los comparto entre mi pareja y mis dos gatitos, que llenan nuestro hogar de alegría y diversión.
Hernán Espinoza Medina
Analista Senior de Ciberseguridad
Ingeniero Civil Electricista de la Universidad de Chile.