Aumento de ataques ransomware y grupos activos
- OSIPTEL
- 15 mayo 2023
Durante el último año, las pandillas de ransomware se han disuelto y reformado, pero una cosa es segura: siguen reagrupándose y regresando. A pesar de todos los esfuerzos, el problema del ransomware continúa creciendo, con un informe de la empresa de seguridad Zscaler que registra un aumento del 80% en los ataques de ransomware año tras año.
Las principales tendencias incluyeron doble extorsión, ataques a la cadena de suministro, ransomware como servicio, cambio de marca de ransomware y ataques motivados geopolíticamente. Y, aunque el notorio grupo de ransomware Conti finalmente se retiró el año pasado, sus miembros solo han seguido adelante, con la formación y reforma de nuevos grupos delictivos.
Entonces, ¿qué grupos son los que hay que tener en cuenta actualmente?
La última variante, LockBit 3.0, se lanzó en junio de 2022, según Intel 471, y se enfoca principalmente en servicios profesionales y consultoría y manufactura, productos industriales y de consumo, junto con el sector inmobiliario.
Cuenta con nuevos cifradores basados en el código fuente de BlackMatter/DarkSide, junto con nuevas estrategias de extorsión.
Y mientras tanto, en un movimiento extraordinario, LockBit ha lanzado su propio programa de recompensas, ofreciendo hasta U$S 1 millón por el descubrimiento de vulnerabilidades en su malware, sitios que avergüenzan a las víctimas, la red TOR o su servicio de mensajería.
Este grupo también se ha centrado notablemente en los distritos escolares públicos y otras instituciones educativas. Como son un actor nuevo en este espacio, los TTP de Vice Society son difíciles de cuantificar. Sin embargo, según las observaciones de respuesta a incidentes, aprovechan rápidamente las nuevas vulnerabilidades, como PrintNightmare para el movimiento lateral y la persistencia en la red de una víctima. También intentan ser innovadores en las omisiones de respuesta de detección de punto final.
Al igual que con otros actores de amenazas, mantienen un sitio de fuga de datos, que utilizan para publicar datos extraídos de víctimas que eligen no pagar sus demandas de extorsión.
Actualmente participa en una campaña que usa el malware QakBot, un troyano bancario que se usa para robar los datos financieros de las víctimas, incluida la información del navegador, las pulsaciones de teclas y las credenciales.
Se cree que Hive, otro equipo muy profesional, colabora con otros grupos de ransomware y tiene sus propios departamentos de servicio al cliente, mesa de ayuda y ventas. También incurre en la llamada triple extorsión, el robo de datos, la amenaza de filtrarlos y el chantaje a las víctimas.
Otro operador de RaaS, su táctica principal es explotar fallas de seguridad conocidas o credenciales de cuentas vulnerables y luego lanzar ataques DDoS para presionar a la víctima para que pague. Expone los datos robados a través de su propio motor de búsqueda.
Los objetivos han incluido organizaciones de infraestructura crítica, incluidos aeropuertos, operadores de oleoductos y refinerías de petróleo, así como el Departamento de Defensa de EE. UU.
Las demandas de rescate ascienden a millones e, incluso cuando la víctima paga, el grupo no siempre entrega las herramientas de descifrado prometidas.
Como muchos otros programas de ransomware, BianLian se basa en el lenguaje Go, lo que le otorga una gran flexibilidad. El grupo parece estar formado por jugadores relativamente inexpertos, con signos de que son nuevos en los aspectos comerciales prácticos del ransomware y la logística asociada. La amplia gama de objetivos del grupo indica que está motivado por el dinero más que por consideraciones políticas.
Mientras tanto, los nuevos grupos que surgieron durante el último año incluyen DarkAngels, Mindware, Cheers, y grupos tales como RansomHouse, MedusaLocker y Medusa Ransom, D0nut, Phobos/Makop (MKP) actuando activamente en América Latina.
Fuente: https://blog.segu-info.com.ar/2023/04/mayores-grupos-de-ransomware-activos.html
Deja un comentario