El ecosistema de ransomware ha experimentado grandes cambios a lo largo de los últimos meses. El declive de grandes grupos como Conti y REvil ha dado lugar a bandas más pequeñas de ransomware como servicio (RaaS), lo que representa un importante desafío para la inteligencia de amenazas.

Pese a la desaparición de algunos grandes grupos de ransomware, su proliferación sigue imparable. La diversificación de tácticas, técnicas y procedimientos complica enormemente las tareas de rastreo y obstaculiza su erradicación.

Según apuntan investigadores de Cisco Talos, estos cambios en el panorama del ransomware se empezaron a detectar a mediados de 2021 con el ataque a Colonial Pipeline y el posterior derribo de REvil. Esto llevó a una dispersión de los integrantes hacia otros grupos más pequeños.

Las luchas internas, unido a las acciones de las fuerzas del orden, y un mercado competitivo en el que los desarrolladores y operadores cambian su afiliación continuamente en busca de la operación de ransomware más lucrativa caracterizan este nuevo escenario.

Una rápida evolución de los grupos de ransomware

Desde 2019, el panorama del ransomware ha estado dominado por grandes operaciones que aparecían constantemente en los titulares.

El ataque de DarkSide contra Colonial Pipeline, que provocó una importante interrupción del suministro de combustible a lo largo de la costa este de Estados Unidos, evidenció el riesgo que el ransomware podía tener contra infraestructuras críticas.

A partir de ese momento se dedicaron más esfuerzos a combatir esta amenaza por parte de las fuerzas del orden público. Poco después, DarkSide cesó sus operaciones, pero le sucedió REvil, también conocido como Sodinokibi, convirtiéndose en uno de los grupos de ransomware con mayor popularidad.

La invasión rusa de Ucrania en febrero de 2022 puso rápidamente a prueba la relación entre muchos grupos de ransomware que tenían miembros y afiliados en ambos países, así como en otros de la antigua URSS.

Algunos grupos, como Conti, se apresuraron a tomar partido en esta guerra y amenazaron con atacar infraestructuras en Occidente en apoyo a Rusia. Esta fue una desviación del enfoque apolítico habitual en estos grupos, lo que les valió críticas de sus competidores.

ciberataques interrupción negocio ciberseguridad estudio Allianz ransomware protección de datos noticia bit life media

A esto también le siguió una filtración de comunicaciones internas que expuso muchos de los secretos operativos de Conti.

Tras el gran ciberataque llevado a cabo contra el gobierno costarricense, el Departamento de Estado de Estados Unidos ofreció una recompensa de 10 millones de dólares por información relacionada con la identidad o ubicación de los líderes de Conti, lo que probablemente contribuyó a la decisión del grupo de cerrar sus operaciones en mayo.

La desaparición de Conti llevó a un descenso de la actividad de ransomware durante un par de meses. Pero no duró mucho, ya que otros grupos ocuparon rápidamente el espacio que había dejado Conti, con la sospecha de que detrás estaban exmiembros de Conti, REvil y otros grupos que habían cesado sus operaciones en los últimos dos años.

Principales grupos de ransomware a tener en cuenta

LockBit. Es el principal grupo que intensificó sus operaciones tras el cierre de Conti al renovar su programa de afiliados y lanzar una versión nueva y mejorada de su programa de ransomware.

Aunque ha estado en funcionamiento desde 2019, no fue hasta LockBit 3.0 que este grupo logró tomar la delantera en el panorama de amenazas de ransomware. Diversos informes apuntan que LockBit 3.0 es responsable de la mayor cantidad de incidentes de ransomware durante el tercer trimestre de 2022.

Este grupo podría ver sus propios spin-offs este año ya que un antiguo desarrollador descontento filtró código de LockBit de forma que cualquiera puede crear su versión personalizada del programa de ransomware. Según Cisco Talos, un nuevo grupo de ransomware llamado Bl00dy Gang ya ha empezado a utilizar LockBit 3.0 en ataques recientes.

Hive. El grupo con mayor número de víctimas en 2022 después de LockBit. Se trata de la principal familia de ransomware observada durante los compromisos de respuesta a incidentes y la tercera en la lista de casos de respuesta a incidentes para Palo Alto Networks después de Conti y LockBit.

Se calcula que ha conseguido extorsionar más de 100 millones de dólares a más de 1.300 empresas de todo el mundo. Afortunadamente, el mes de enero se procedió a su desarticulación.

Black Basta. El tercer grupo de ransomware más prolífico, según Cisco Talos es Black Basta, un grupo que se sospecha que es un derivado de Conti ya que tiene algunas similitudes en sus técnicas. El grupo comenzó a operar en abril, poco antes de que Conti cerrara, y hace uso del troyano Qbot para su distribución, explotando la vulnerabilidad PrintNightmare.

A partir de junio, el grupo también presentó un encriptador de archivos para sistemas Linux, dirigido principalmente a máquinas virtuales VMware ESXi.

Royal. Este grupo utilizaba inicialmente programas de ransomware de otros grupos, incluidos BlackCat y Zeon, pero desarrolló su propio encriptador de archivos que parece estar inspirado en Conti.

A partir de ese momento cogió impulso, superando a LockBit en la cantidad de víctimas el pasado mes de noviembre. A este ritmo, se espera que Royal sea una de las principales amenazas de ransomware en 2023.

Vice Society. Royal no es el único ejemplo de grupo de ransomware que logra con éxito reutilizar programas de ransomware desarrollados por otros. Vice Society es otro de ellos y es el cuarto grupo más grande según la cantidad de víctimas enumeradas en su sitio de fuga de datos.

Este grupo se dirige principalmente a organizaciones del sector educativo y se basa en variantes de familias de ransomware preexistentes como HelloKitty y Zeppelin.

ransomware ciberamenaza tendencias ciberseguridad 2023 netskope noticia bit life media

La proliferación de pequeños grupos de ransomware, el gran desafío

En este escenario vemos como el final de los grandes monopolios de ransomware conlleva nuevos para los analistas de inteligencia de amenazas. Al menos ocho grupos representan el 75% de las publicaciones en sitios de fuga de datos que Cisco Talos monitoriza activamente.

En consecuencia, la aparición de nuevos grupos dificulta la atribución ya que los adversarios trabajan en múltiples grupos RaaS.

Algunos grupos, como LockBit, han empezado a introducir métodos de extorsión adicionales, como ataques DDoS, para obligar a sus víctimas a pagar los rescates. Es probable que esta tendencia continúe a lo largo de este 2023, y se espera que los grupos de ransomware propongan nuevas tácticas de extorsión para monetizar los ataques antes de implementar la carga útil final del ransomware.

No en vano, este movimiento es consecuencia de que las empresas están mejorando sus técnicas de detección de amenazas, aunque deberán seguir reforzándolas ante los cambios que los ciberdelincuentes llevan a cabo para sortearlas.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre