Este primer semestre de 2022 estuvo marcado por importantes eventos vinculados a la actividad del ransomware. Incluyendo la declaración de emergencia nacional en Costa Rica el 11 de mayo, luego de un ataque de ransomware de un mes que afectó a su administración, el más ampliamente informado y posiblemente el más importante de ellos. Esta campaña, reivindicada y atribuida a Conti, fue la primera en provocar tal respuesta de un país. Otra víctima que experimentó un gran impacto, aunque no del mismo alcance, fue el Lincoln College en Illinois, EE.UU., la primera universidad en cerrar tras un ataque de ransomware.
SEKOIA.IO presentó su panorama de amenazas Ransomware para el primer semestre de 2022, con los siguientes puntos clave:
- Victimología del ransomware: evoluciones recientes
- Una primera mitad del año ajetreada: varios recién llegados al vecindario del ransomware
- Tendencia de características de ransomware multiplataforma
- Nuevas técnicas de extorsión
- Grupos con nexos estatales que llevan a cabo campañas de ransomware
- Actividades en la dark web de los grupos de amenazas
- ¿Un cambio hacia la extorsión sin cifrado?
- Victimología del ransomware: evoluciones recientes
Otro informe de ENISA tiene como objetivo brindar nuevos conocimientos sobre la realidad de los incidentes de ransomware mediante el mapeo y el estudio de los incidentes de ransomware desde mayo de 2021 hasta junio de 2022. Según los hallazgos, el ransomware se ha adaptado y evolucionado, volviéndose más eficiente y causando ataques más devastadores.
Los aspectos más destacados del informe incluyen lo siguiente:
- Una matriz novedosa denominada LEDS (Lock, Encrypt, Delete, Steal) que mapea con precisión las capacidades del ransomware en función de las acciones realizadas y los activos objetivo;
- Un análisis detallado y profundo del ciclo de vida del ransomware: acceso inicial, ejecución, acción sobre objetivos, chantaje y negociación de rescate;
- Recopilación y análisis en profundidad de 623 incidentes de ransomware desde mayo de 2021 hasta junio de 2022;
- Más de 10 terabytes de datos robados mensualmente por ransomware de organizaciones objetivo;
- Aproximadamente el 58,2 % de todos los datos robados contienen datos personales del RGPD;
- En el 95,3% de los incidentes, no se sabe cómo los actores de amenazas obtuvieron acceso inicial a la organización objetivo;
- Se estima que más del 60% de las organizaciones afectadas pueden haber pagado demandas de rescate;
- Se encontraron al menos 47 actores de amenazas de ransomware únicos.
El informe también destaca problemas con la notificación de incidentes de ransomware y el hecho de que todavía tenemos conocimiento e información limitados con respecto a dichos incidentes. El análisis de este informe indica que los incidentes divulgados públicamente son solo la punta del iceberg.
Cantidad de ataques
El servicio de monitoreo de la empresa identificó 1.350 ataques de ransomware divulgados públicamente en el primer semestre de 2022, contra 1067 en el mismo período en 2021. Sin embargo, este aumento del 26,5% no es uniforme durante todo el período, como se muestra en el gráfico a continuación.
Se informó un número creciente de ataques de ransomware desde principios de año hasta finales de abril de 2022. Esto parece reflejar el crecimiento natural de la amenaza, siguiendo una curva predominantemente ascendente del número observado de ataques de ransomware, con actividad reducida. durante las temporadas de vacaciones dos veces al año. Se habría notado una excepción el año pasado, donde la disminución alrededor de marzo de 2021 puede haber sido impulsada por algunas de las campañas policiales anteriores.
Según el director de ciberseguridad de la Agencia de Seguridad Nacional (NSA), la disminución de los ataques observados en mayo y junio de 2022 podría explicarse por las sanciones contra Rusia tras su invasión a Ucrania. Las sanciones contra Rusia dificultaron que los ciberdelincuentes organicen ataques y reciban pagos de rescate, obligándolos a cambiar sus TTP y reducir temporalmente el ritmo de sus campañas maliciosas.
Es probable que haya otras razones para estas variaciones, ya sea situacionales u oportunistas. Por ejemplo, la disminución que se produjo entre mayo y junio de 2022 podría deberse al hecho de que los grupos de ransomware solo revelan un subconjunto de ataques. Esto podría conducir a una brecha de inteligencia significativa entre la fecha del ataque real y la fecha en que se hizo público. Por ejemplo, el grupo Black Basta anunció más de veinte víctimas a la vez a principios de julio. Dada la posible diferencia de tiempo entre las dos fechas (cifrado e inicio de la campaña de extorsión), que es diferente para cada operación de ransomware, es probable que los datos de esas víctimas se hayan cifrado antes y, por lo tanto, esta caída en la cantidad de ataques desde mayo 2022 tiene que ser relativizado.
De los 32 grupos de ransomware activos identificados que reclamaron ataques en la primera mitad de 2022, LockBit fue el más prolífico. Con al menos 439 víctimas denunciadas, fue responsable del 32,52% de las campañas conocidas, mientras que el trío LockBit + Conti + ALPHV registró más de la mitad de las víctimas (54,67%). Las últimas víctimas conocidas de Conti datan de finales de mayo de 2022, cuando el grupo eliminó su infraestructura de ataque y sus miembros migraron a otros proyectos de ransomware y/o extorsión, como BlackCat, AvosLocker, Hive, HelloKitty.
Tendencia de funciones multiplataforma
El cambio hacia sistemas operativos específicos distintos de Microsoft Windows aumentó en 2022 y podría verse como una tendencia confirmada que ya comenzó en años anteriores.
Además de Microsoft Windows, es el sistema operativo basado en Linux y especialmente el sistema VMware ESXi el que se ha convertido cada vez más en el objetivo de los actores de ransomware. El grupo RansomEXX, por ejemplo, adquirió esta capacidad ya en 2020. Algunos otros grupos como REvil, Conti, Black Basta, LockBit, The Hive, ALPHV desarrollaron soporte para Linux primero y luego, más recientemente, los requisitos previos específicos para VMware ESXi. Los nuevos grupos de 2022 como Cheerscrypt solo se centran en el entorno Linux.
Nuevas técnicas de extorsión
Los grupos de ransomware mejoran constantemente sus técnicas para aumentar la presión y hacer que la víctima pague el rescate.
ALPHV/BlackCat comenzó a publicar los datos que robaron de una empresa no solo en su sitio web de fugas en ONION, sino también en un sitio web diseñado específicamente en clearweb, con un dominio nombrado de acuerdo con el nombre de la víctima. El ransomware incluía un formulario de búsqueda en el sitio web, lo que hacía posible que los empleados o clientes buscaran directamente si aparecían en la fuga. Por lo tanto, usar el nombre de la empresa como dominio y hacer que el sitio web sea fácilmente accesible en Internet sin requerir TOR permitiría que cualquier persona (empleado, cliente, competidor) obtenga la información, lo que puede ser una forma muy eficiente de aumentar la presión sobre las víctimas.
Otras técnicas observadas destinadas a presionar a la empresa de la víctima consisten en contactar directamente a sus clientes afectados, llamándolos por teléfono o enviándoles un correo electrónico, sin dar ninguna posibilidad a las estructuras o personas afectadas de permanecer en la oscuridad con respecto a la fuga. Esto también destaca que las víctimas tienen que gestionar las crisis con absoluta transparencia y garantizar una ejecución rápida.
Grupos de ransomware que buscan «pentesters»
Los actores de amenazas identificados por los grupos de ransomware como «pentesters» son, de hecho, socios afiliados que llevan a cabo una fase específica del ataque.
Suelen estar a cargo del movimiento lateral y elevación de privilegios dentro del sistema de información de la víctima. La finalidad deseada de la actividad de los pentesters sería abrir una forma de implementar el ransomware, que cifrará y exfiltrará los datos de la víctima. Estos jugadores intervienen después de que ya se ha alcanzado el acceso inicial a una máquina víctima (la mayoría de las veces a través de IAB, como se explicó anteriormente).
En varios foros de ciberdelito de la dark web, observamos un número creciente de publicaciones relacionadas con «pentesting»: actores de amenazas (tanto individuos como organizaciones) que brindan sus servicios, así como grupos de amenazas que buscan contratarlos. Esperamos que los «pentesters» estén aún más presentes en los foros y mercados clandestinos y que sean un punto de enlace entre las IAB y los jugadores de ransomware.
