ransomware

Durante el último año, las pandillas de ransomware se han disuelto y reformado, pero una cosa es segura: siguen reagrupándose y regresando. A pesar de todos los esfuerzos, el problema del ransomware continúa creciendo, con un informe de la empresa de seguridad Zscaler que registra un aumento del 80% en los ataques de ransomware año tras año.

Las principales tendencias incluyeron doble extorsión, ataques a la cadena de suministro, ransomware como servicio, cambio de marca de ransomware y ataques motivados geopolíticamente. Y, aunque el notorio grupo de ransomware Conti finalmente se retiró el año pasado, sus miembros solo han seguido adelante, con la formación y reforma de nuevos grupos delictivos.

Entonces, ¿Qué grupos son los que hay que tener en cuenta actualmente?

LockBit

LockBit existe desde 2019 y funciona como ransomware como servicio (RaaS); y, según varias fuentes, es, con mucho, el grupo de ransomware más prolífico, ya que representa más de cuatro de cada diez de todas las víctimas de ransomware publicadas. Se cree que tiene su sede en Rusia.

La última variante, LockBit 3.0, se lanzó en junio de 2022, según Intel 471, y se enfoca principalmente en servicios profesionales y consultoría y manufactura, productos industriales y de consumo, junto con el sector inmobiliario.

Cuenta con nuevos cifradores basados en el código fuente de BlackMatter/DarkSide, junto con nuevas estrategias de extorsión.

Y mientras tanto, en un movimiento extraordinario, LockBit ha lanzado su propio programa de recompensas, ofreciendo hasta U$S 1 millón por el descubrimiento de vulnerabilidades en su malware, sitios que avergüenzan a las víctimas, la red TOR o su servicio de mensajería.

Vice Society

Vice Society es un jugador relativamente nuevo en el espacio del ransomware. Surgieron a mediados de 2021 y se ha observado que lanzan ataques de caza mayor y doble extorsión, dirigidos principalmente a víctimas pequeñas o medianas.

Este grupo también se ha centrado notablemente en los distritos escolares públicos y otras instituciones educativas. Como son un actor nuevo en este espacio, los TTP de Vice Society son difíciles de cuantificar. Sin embargo, según las observaciones de respuesta a incidentes, aprovechan rápidamente las nuevas vulnerabilidades, como PrintNightmare para el movimiento lateral y la persistencia en la red de una víctima. También intentan ser innovadores en las omisiones de respuesta de detección de punto final.

Al igual que con otros actores de amenazas, mantienen un sitio de fuga de datos, que utilizan para publicar datos extraídos de víctimas que eligen no pagar sus demandas de extorsión.

Black Basta

Black Basta hizo su primera aparición en la marzo de 2022 y afectó al menos a 20 empresas en sus primeras dos semanas. Se cree que el grupo está formado por miembros de las ahora desaparecidas pandillas Conti y REvil.

Actualmente participa en una campaña que usa el malware QakBot, un troyano bancario que se usa para robar los datos financieros de las víctimas, incluida la información del navegador, las pulsaciones de teclas y las credenciales.

Hive

Hive, el tercer grupo de ransomware más activo de 2022, se centra en el sector industrial, junto con organizaciones de salud, energía y agricultura. Según el FBI, ha afectado a 1.300 empresas en todo el mundo, particularmente en el sector de la salud, y ha generado alrededor de 100 millones de dólares en pagos de rescate.

Se cree que Hive, otro equipo muy profesional, colabora con otros grupos de ransomware y tiene sus propios departamentos de servicio al cliente, mesa de ayuda y ventas. También incurre en la llamada triple extorsión, el robo de datos, la amenaza de filtrarlos y el chantaje a las víctimas.

ALPHV/Black Cat

Uno de los paquetes de ransomware más sofisticados y flexibles, basado en el lenguaje de programación Rust, ALPHV/BlackCat existe desde hace aproximadamente un año y medio. Se cree que el grupo está formado por ex miembros de la pandilla REvil y está conectado a los grupos BlackMatter y DarkSide.

Otro operador de RaaS, su táctica principal es explotar fallas de seguridad conocidas o credenciales de cuentas vulnerables y luego lanzar ataques DDoS para presionar a la víctima para que pague. Expone los datos robados a través de su propio motor de búsqueda.

Los objetivos han incluido organizaciones de infraestructura crítica, incluidos aeropuertos, operadores de oleoductos y refinerías de petróleo, así como el Departamento de Defensa de EE. UU.

Las demandas de rescate ascienden a millones e, incluso cuando la víctima paga, el grupo no siempre entrega las herramientas de descifrado prometidas.

BianLian

Otro jugador relativamente nuevo, BianLian, se ha dirigido a organizaciones en Australia, América del Norte y el Reino Unido. Rápidamente está poniendo en línea nuevos servidores de comando y control (C&C), lo que indica, dice la firma de seguridad Redacted, que puede estar planeando un gran aumento en la actividad.

Como muchos otros programas de ransomware, BianLian se basa en el lenguaje Go, lo que le otorga una gran flexibilidad. El grupo parece estar formado por jugadores relativamente inexpertos, con signos de que son nuevos en los aspectos comerciales prácticos del ransomware y la logística asociada. La amplia gama de objetivos del grupo indica que está motivado por el dinero más que por consideraciones políticas.

Otros grupos nuevos

El mundo del ransomware está en constante cambio, y varios grupos han cambiado de nombre: DarkSide ahora es BlackMatter; DoppelPaymer se ha convertido en Grief y, Rook se ha rebautizado como Pandora.

Mientras tanto, los nuevos grupos que surgieron durante el último año incluyen DarkAngels, Mindware, Cheers, y grupos tales como RansomHouse, MedusaLocker y Medusa Ransom, D0nut, Phobos/Makop (MKP) actuando activamente en América Latina.

Fuente y redacción: segu-info.com.ar

Compartir