En 2024, los ataques de ransomware a nivel mundial alcanzaron los 5.414, un aumento del 11% con respecto a 2023. Tras un comienzo lento, los ataques aumentaron en el segundo trimestre y aumentaron en el cuarto trimestre, con 1.827 incidentes (el 33% del total del año).
Las acciones de las fuerzas de seguridad contra grupos importantes como LockBit provocaron fragmentación, lo que generó más competencia y un aumento de bandas más pequeñas. El número de grupos de ransomware activos aumentó un 40%, de 68 en 2023 a 95 en 2024.
Nuevos grupos de ransomware a tener en cuenta
En 2023, solo hubo 27 grupos nuevos. En 2024, se produjo un aumento espectacular con 46 grupos nuevos detectados. A medida que avanzaba el año, la cantidad de grupos se aceleró y en el cuarto trimestre de 2024 hubo 48 grupos activos.
De los 46 grupos de ransomware nuevos de 2024, RansomHub se convirtió en el dominante, superando la actividad de LockBit. El equipo de investigación de Cyberint, ahora una empresa de Check Point, investiga constantemente los grupos de ransomware más recientes y los analiza para determinar su posible impacto.
Lea el «Informe sobre ransomware 2024» de Cyberint, para tener un desglose de los 3 principales grupos de ransomware recién llegados a la industria, arrestos y noticias, y pronósticos para 2025.
Ransomhub
RansomHub se ha convertido en el grupo líder de ransomware en 2024, y ha reivindicado 531 ataques a su sitio de fuga de datos desde que comenzó a operar en febrero de 2024. Tras la interrupción de ALPHV por parte del FBI, RansomHub es percibido como su «sucesor espiritual», que podría incluir a antiguos afiliados.
RansomHub, que funciona como un ransomware como servicio (RaaS), aplica estrictos acuerdos de afiliación y exige un estricto cumplimiento de los acuerdos de afiliación, cuyo incumplimiento da lugar a prohibiciones y a la terminación de las asociaciones. Ofrece una división del rescate del 90/10, afiliados/grupo principal.
Si bien afirma contar con una comunidad de hackers global, RansomHub evita apuntar a las naciones de la CEI, Cuba, Corea del Norte, China y organizaciones sin fines de lucro, y exhibe características de una configuración de ransomware rusa tradicional. Su evitación de las naciones afiliadas a Rusia y la superposición con otros grupos de ransomware rusos en las empresas atacadas resaltan aún más sus posibles conexiones con el ecosistema de ciberdelincuencia de Rusia.
Los hallazgos de Cyberint de agosto de 2024 indican una tasa de pago baja: solo el 11,2% de las víctimas pagaron (20 de 190), y las negociaciones a menudo redujeron las demandas. RansomHub prioriza el volumen de ataques sobre las tasas de pago, aprovechando la expansión de afiliados para garantizar la rentabilidad, con el objetivo de generar ingresos sustanciales a lo largo del tiempo a pesar del bajo éxito de pago individual.
El ransomware de RansomHub, desarrollado en Golang y C++, ataca a Windows, Linux y ESXi, y se distingue por su cifrado rápido. Las similitudes con el ransomware de GhostSec sugieren una tendencia.
RansomHub garantiza el descifrado gratuito si los afiliados no lo proporcionan después del pago o si atacan a organizaciones prohibidas. Su ransomware cifra los datos antes de la exfiltración. Los patrones de ataque sugieren posibles vínculos con ALPHV, lo que indica que se podrían utilizar herramientas y procedimientos similares.
La investigación de Sophos destaca paralelismos con Knight Ransomware, incluidas las cargas útiles en lenguaje Go ofuscadas con GoObfuscate y comandos idénticos.
Ransomware Fog
El ransomware Fog apareció a principios de abril de 2024 y atacaba las redes educativas de EE.UU. mediante el uso de credenciales VPN robadas. Utilizan una estrategia de doble extorsión: publican datos en un sitio de filtración basado en TOR si las víctimas no pagan.
En 2024, atacaron a 87 organizaciones en todo el mundo. Un informe de Arctic Wolf de noviembre de 2024 mostró que Fog inició al menos 30 intrusiones, todas a través de cuentas VPN de SonicWall comprometidas. Cabe destacar que el 75 % de estas intrusiones estaban vinculadas a Akira, y el resto se atribuyó a Fog, lo que sugiere una infraestructura y colaboración compartidas.
Fog se dirige principalmente a la educación, los servicios empresariales, los viajes y la fabricación, con especial atención a EE. UU. Curiosamente, Fog es uno de los pocos grupos de ransomware que priorizan el sector educativo como su objetivo principal.
El ransomware Fog ha demostrado una velocidad alarmante: el tiempo más corto observado desde el acceso inicial hasta el cifrado fue de solo dos horas. Sus ataques siguen una cadena de ataque típica de ransomware, que abarca la enumeración de la red, el movimiento lateral, el cifrado y la exfiltración de datos. Existen versiones del ransomware para plataformas Windows y Linux.
Lynx
Lynx es un grupo de ransomware de doble extorsión que ha estado muy activo últimamente y que muestra muchas empresas víctimas en su sitio web. Afirman que evitan atacar a organizaciones gubernamentales, hospitales, grupos sin fines de lucro y otros sectores sociales esenciales.
Una vez que obtienen acceso a un sistema, Lynx cifra los archivos y les agrega la extensión «.LYNX». Luego, colocan una nota de rescate llamada «README.txt» en varios directorios. Solo en 2024, Lynx cobró más de 70 víctimas, lo que demuestra su actividad continua y su presencia significativa en el panorama del ransomware.
Fuente y redacción: segu-info.com.ar
