Durante el último año, las pandillas de ransomware se han disuelto y
reformado, pero una cosa es segura: siguen reagrupándose y regresando. A pesar
de todos los esfuerzos, el problema del ransomware continúa creciendo, con un
informe de la empresa de seguridad Zscaler
que registra un aumento del 80% en los ataques de ransomware año tras año.
Las principales tendencias incluyeron doble extorsión, ataques a la cadena de
suministro, ransomware como servicio, cambio de marca de ransomware y ataques
motivados geopolíticamente. Y, aunque el notorio grupo de
ransomware Conti
finalmente se retiró el año pasado, sus miembros solo han seguido adelante,
con la formación y reforma de nuevos grupos delictivos.
Entonces, ¿qué grupos son los que hay que tener en cuenta actualmente?
LockBit
LockBit existe desde 2019 y funciona como ransomware como servicio (RaaS); y,
según varias fuentes, es, con mucho, el grupo de ransomware más prolífico, ya
que representa más de cuatro de cada diez de todas las víctimas de ransomware
publicadas. Se cree que tiene su sede en Rusia.
La última variante, LockBit 3.0, se lanzó en junio de 2022, según
Intel 471, y se enfoca principalmente en servicios profesionales y consultoría y
manufactura, productos industriales y de consumo, junto con el sector
inmobiliario.
Cuenta con nuevos cifradores basados en el código fuente de
BlackMatter/DarkSide, junto con nuevas estrategias de extorsión.
Y mientras tanto, en un movimiento extraordinario, LockBit ha lanzado su
propio programa de recompensas, ofreciendo hasta U$S 1 millón por el
descubrimiento de vulnerabilidades en su malware, sitios que avergüenzan a las
víctimas, la red TOR o su servicio de mensajería.
Vice Society
Surgieron a mediados de 2021 y se ha observado que lanzan ataques de caza
mayor y doble extorsión, dirigidos principalmente a víctimas pequeñas o
medianas.
públicos y otras instituciones educativas. Como son un actor nuevo en este
espacio, los TTP de Vice Society son difíciles de cuantificar. Sin embargo,
según las observaciones de respuesta a incidentes, aprovechan rápidamente
las nuevas vulnerabilidades, como
PrintNightmare
para el movimiento lateral y la persistencia en la red de una víctima.
También intentan ser innovadores en las omisiones de respuesta de detección
de punto final.
datos, que utilizan para publicar datos extraídos de víctimas que eligen no
pagar sus demandas de extorsión.
Black Basta
Black Basta hizo su primera aparición en la marzo de 2022 y afectó al menos a
20 empresas en sus primeras dos semanas. Se cree que el grupo está formado por
miembros de las ahora desaparecidas pandillas Conti y REvil.
Actualmente participa en una campaña que usa el malware QakBot, un troyano
bancario que se usa para robar los datos financieros de las víctimas, incluida
la información del navegador, las pulsaciones de teclas y las credenciales.
Hive
Hive, el tercer grupo de ransomware más activo de 2022, se centra en el sector
industrial, junto con organizaciones de salud, energía y agricultura. Según el
FBI, ha afectado a 1.300 empresas en todo el mundo, particularmente en el
sector de la salud, y ha generado alrededor de 100 millones de dólares en
pagos de rescate.
Se cree que Hive, otro equipo muy profesional, colabora con otros grupos de
ransomware y tiene sus propios departamentos de servicio al cliente, mesa de
ayuda y ventas. También incurre en la llamada triple extorsión, el robo de
datos, la amenaza de filtrarlos y el chantaje a las víctimas.
ALPHV/Black Cat
Uno de los paquetes de ransomware más sofisticados y flexibles, basado en el
lenguaje de programación Rust, ALPHV/BlackCat existe desde hace
aproximadamente un año y medio. Se cree que el grupo está formado por ex
miembros de la pandilla REvil y está conectado a los grupos BlackMatter y
DarkSide.
Otro operador de RaaS, su táctica principal es explotar fallas de seguridad
conocidas o credenciales de cuentas vulnerables y luego lanzar ataques DDoS
para presionar a la víctima para que pague. Expone los datos robados a través
de su propio motor de búsqueda.
Los objetivos han incluido organizaciones de infraestructura crítica,
incluidos aeropuertos, operadores de oleoductos y refinerías de petróleo, así
como el Departamento de Defensa de EE. UU.
Las demandas de rescate ascienden a millones e, incluso cuando la víctima
paga, el grupo no siempre entrega las herramientas de descifrado prometidas.
BianLian
Otro jugador relativamente nuevo, BianLian, se ha dirigido a organizaciones en
Australia, América del Norte y el Reino Unido. Rápidamente está poniendo en
línea nuevos servidores de comando y control (C&C), lo que indica,
dice la firma de seguridad Redacted, que puede estar planeando un gran aumento en la actividad.
Como muchos otros programas de ransomware, BianLian se basa en el lenguaje Go,
lo que le otorga una gran flexibilidad. El grupo parece estar formado por
jugadores relativamente inexpertos, con signos de que son nuevos en los
aspectos comerciales prácticos del ransomware y la logística asociada. La
amplia gama de objetivos del grupo indica que está motivado por el dinero más
que por consideraciones políticas.
Otros grupos nuevos
El mundo del ransomware está en constante cambio, y varios grupos han cambiado
de nombre: DarkSide ahora es
BlackMatter; DoppelPaymer se ha convertido en
Grief
y, Rook se ha rebautizado como
Pandora.
Mientras tanto, los nuevos grupos que surgieron durante el último año incluyen
DarkAngels, Mindware, Cheers, y grupos tales como RansomHouse, MedusaLocker y
Medusa Ransom,
D0nut,
Phobos/Makop (MKP)
actuando activamente en América Latina.
Fuente:
TechRepublic
Los comentarios están cerrados.