En la actualidad, Sprite Spider está a punto de convertirse en uno de los mayores actores de amenazas de ransomware de 2021 y tiene un perfil de amenaza similar al de los actores de amenazas persistentes avanzadas hace cinco o diez años.
El surgimiento de Sprite Spider como una amenaza sofisticada no es sorprendente dado que, al igual que muchas otras bandas de ransomware organizadas, están llenas de piratas informáticos que a menudo son empleados de manera lucrativa por actores de amenazas de estados-nación.
Sprite Spider comenzó usando un troyano bancario llamado Shifu en 2015, agregando un cargador de malware llamado Vatet alrededor de 2017. En 2018, la banda implementó un troyano de acceso remoto llamado PyXie. En 2019, el grupo evolucionó hasta el punto en que implementó un ransomware llamado DEFRAY777.
En este punto, los investigadores de CrowdStrike vincularon a Shifu, Vatet y PyXie a los ataques de ransomware DEFRAY777. Se dieron cuenta de que toda la actividad de estos componentes estaba vinculada a un solo actor de amenaza, que había estado volando por debajo del radar.
Cómo funciona el ransomware Sprite Spider
La pandilla a menudo puede escapar a la detección principalmente porque su código parece benigno y se esconde en proyectos de código abierto como Notepad ++. Lo único que Sprite Spider escribe en el disco es Vatet, lo que hace aún más difícil para los analistas rastrearlos durante la respuesta a incidentes.
A pesar de su sigilo y múltiples componentes, Sprite Spider muestra algunas características mundanas. DEFRAY777 no es un ransomware sofisticado, pero hace el trabajo. Sprite Spider también llegó algo tarde al juego dedicado al sitio de fugas, esperando hasta finales de noviembre de 2020 para lanzar su propio sitio para comunicarse con las víctimas, meses después de que otros actores de ransomware comenzaran a lanzar estos sitios.
La amenaza real de Sprite Spider se intensificó en julio de 2020 cuando comenzó a apuntar a los hosts ESXi, que generalmente son implementados por grandes organizaciones que utilizan tecnología de hipervisor completa desarrollada por VMware para administrar múltiples máquinas virtuales. DEFRAY777 implementado en hosts ESXi utiliza credenciales robadas para autenticarse en vCenter, que es la interfaz web para administrar varios dispositivos ESXi y sitios web alojados en esos dispositivos.
