El declive de los grandes grupos de ransomware como Conti y REvil ha dado lugar a bandas más pequeñas, lo que representa un desafío para la inteligencia de amenazas.
El ecosistema de ransomware ha cambiado notablemente en el último año. Si antes dominaban los grandes grupos, ahora hemos pasado a un escenario en el que predominan las pequeñas bandas que apuestan por el ransomware como servicio (RaaS) buscando mayor flexibilidad.
Esta evolución ha tenido un impacto claramente negativo para las organizaciones ya que también ha conllevado una diversificación de tácticas, técnicas y procedimientos que dificulta su detección, rastreo, eliminación, e incluso la negociación.
Según apuntan los investigadores de Cisco Talos en su informe anual, estos cambios en el panorama del ransomware se han acelerado especialmente desde mediados de 2022 tras la disolución de REvil. En el último año, algunos grandes grupos han desaparecido, o más bien, se han disgregado en otros más pequeños para responder de forma más eficaz a los esfuerzos de las fuerzas del orden y de la industria privada para erradicarlos.
El dominio de los grandes grupos de ransomware
Desde 2019, el panorama del ransomware ha estado dominado por operaciones grandes y profesionalizadas que aparecían constantemente en los titulares de las noticias, e incluso buscaban la atención de los medios para ganar legitimidad. Hemos visto grupos con portavoces que conceden entrevistas, emiten comunicados y publican en redes sociales los ciberataques que llevan a cabo.
Incluso en algunos foros publican parte de la información robada para exponer públicamente a la víctima y que pague el recate solicitado.
Algunos propietarios de los foros clandestinos hayan reconsiderado su relación con los grupos de ransomware
El ataque de DarkSide contra Colonial Pipeline que provocó una importante interrupción del suministro de combustible a lo largo de la costa Este de los Estados Unidos en 2021. Un ciberataque que puso de manifiesto el riesgo que puede conllevar el ransomware contra infraestructuras críticas.
En consecuencia, también permitió una mayor concienciación para combatir este tipo de amenazas, incluso en los niveles más altos del gobierno. Esta mayor atención por parte de las fuerzas del orden público ha hecho que algunos propietarios de los foros clandestinos hayan reconsiderado su relación con los grupos de ransomware, y han prohibido la publicidad de estas amenazas.
Poco después de este ataque, DarkSide cesó sus operaciones, y evolucionó a REvil, también conocido como Sodinokibi, cuyos creadores fueron acusados del ciberataque, incluso uno de sus miembros fue arrestado.
El impacto del contexto político
La invasión rusa de Ucrania en febrero de 2022 puso rápidamente a prueba la relación entre muchos grupos de ransomware que tenían miembros y afiliados tanto en Rusia como en Ucrania y otros países de la antigua Unión Soviética.
Algunos grupos, como Conti, se apresuraron a tomar partido en esta contienda y amenazaron con atacar infraestructuras en Occidente en señal de apoyo a Rusia. Sin duda, esto marcó un cambio en el enfoque neutral habitual que habían mantenido los grupos de ransomware hasta el momento, lo que suscitó no pocas críticas por parte de otros grupos. A esto le siguió una filtración de comunicaciones internas que expuso muchos de los secretos operativos de Conti y causó inquietud entre sus afiliados.
Tras el gran ataque llevado a cabo contra el gobierno costarricense, el Departamento de Estado de los Estados Unidos ofreció una recompensa de 10 millones de dólares por información relacionada con la identidad o localización de los líderes de Conti. Una acción que posiblemente contribuyó a que el grupo decidiera cerrar sus operaciones en mayo.
La desaparición de Conti llevó a una caída en la actividad del ransomware durante un par de meses. Sin embargo, no duró mucho, ya que el vacío lo fueron llenando rápidamente otros grupos, algunos de ellos recién creados y sospechosos de ser exmiembros de Conti, REvil y otros grupos que cerraron sus operaciones en los últimos dos años.
Principales bandas activas de ransomware a tener en cuenta en 2023
- LockBit
LockBit es el principal grupo que intensificó sus operaciones tras el cierre de Conti al renovar su programa de afiliados y lanzar una versión nueva y mejorada de su programa de ransomware. Aunque ha estado en funcionamiento desde 2019, no ha sido hasta el lanzamiento de la versión LockBit 3.0 cuando ha conseguido tomar la delantera en el panorama de este tipo de ciberamenazas.
Algunas firmas de seguridad señalan a LockBit 3.0 como el responsable de la mayor cantidad de incidentes de ransomware durante el tercer trimestre de 2022 y fue el grupo con la mayor cantidad de víctimas enumeradas en su sitio web de fuga de datos durante todo el año.
- Hive
El grupo con mayor número de víctimas reclamadas en 2022 después de LockBit, según Cisco Talos, es Hive. Se trata de la principal familia de ransomware durante los compromisos de respuesta a incidentes de Talos y la tercera en la lista de casos de respuesta a incidentes para Palo Alto Networks, después de Conti y LockBit.
Según datos del FBI, CISA, y el Departamento de Salud y Servicios Humanos de Estados Unidos, este grupo consiguió más de 100 millones de dólares después de extorsionar a más de 1.300 empresas en todo el mundo entre junio de 2021 y noviembre de 2022.
- Black Basta
El tercer grupo de ransomware más prolífica de 2022 ha sido Black Basta, un grupo que se sospecha que procede de Conti ya que utiliza técnicas similares. El grupo comenzó a operar en abril, poco antes de que Conti cerrara, y su conjunto de herramientas evolucionó rápidamente.
El grupo confía en el troyano Qbot para su distribución y explota la vulnerabilidad PrintNightmare. A partir de junio, el grupo también cuenta con un cifrador de archivos para sistemas Linux, dirigido principalmente a máquinas virtuales VMware ESXi.
Esta expansión multiplataforma también se ha visto con otros grupos de ransomware como LockBit y Hive.
- Royal
Otro grupo que se sospecha que tiene vínculos con Conti y apareció a principios de 2022 es Royal. Si bien inicialmente utilizó programas de ransomware de otros grupos, incluidos BlackCat y Zeon, el grupo desarrolló su propio encriptador de archivos que parece estar inspirado en Conti.
Esto le ha hecho ganar impulso superando a LockBit en la cantidad de víctimas en noviembre. Se espera que Royal sea una de las principales amenazas de ransomware en 2023.
- Vice Society
Royal no es el único grupo que ha conseguido con éxito reutilizar programas de ransomware desarrollados por otros. Otro de esos grupos es Vice Society, el cuarto grupo más grande por cantidad de víctimas según Cisco Talos.
Este grupo se dirige principalmente a organizaciones del sector educativo y se basa en bifurcaciones de familias de ransomware preexistentes como HelloKitty y Zeppelin.
Las empresas están mejorando la detección y respuesta ante incidentes asociados con actividades previas al ransomware
Estos grupos ponen de manifiesto que «el final de los grandes monopolios de ransomware ha presentado desafíos para los analistas de inteligencia de amenazas», según los investigadores de Cisco Talos. Y es que al menos ocho grupos representan el 75% de las publicaciones en sitios de fuga de datos que esta firma monitoriza.
Algunos grupos, como LockBit, han comenzado a introducir métodos de extorsión adicionales, como ataques DDoS, para obligar a sus víctimas a pagar rescates. Es probable que esta tendencia continúe en 2023 y se espera que los grupos de ransomware presenten nuevas tácticas de extorsión para monetizar los ataques a las víctimas antes de implementar la carga útil final del ransomware.
La mitad de los compromisos de respuesta a incidentes han sido en la etapa previa al ransomware, lo que demuestra que las empresas están mejorando en la detección y respuesta ante incidentes asociados con actividades previas al ransomware.