El auge del ransomware en los últimos años ha marcado un antes y un después en la ciberseguridad mundial. En este contexto, el informe de Check Point Software muestra información sobre la actividad de ransomware más actual, destacando a los tres grupos más activos: LockBit3, 8Base y Akira.

Empresas, gobiernos y organizaciones de todos los tamaños se han visto obligadas a enfrentar esta amenaza de ransomware que ya es casi habitual en el día a día y que no solo busca el lucro económico, sino que, en muchas ocasiones, también persigue objetivos de desestabilización y espionaje.

La utilización de «shame sites» por estos grupos, donde publican información de las víctimas para presionarlas al pago, marca una evolución hacia la doble extorsión. Este método no solo aumenta la presión sobre las víctimas, sino que también sirve como advertencia para futuros objetivos. Más de 200 de estas páginas web están operativas, lo que indica la magnitud y la organización detrás de estos ataques.

LockBit3

LockBit3 representa una de las amenazas de ransomware más destacadas y sofisticadas en el panorama actual de la ciberseguridad. Operando bajo un modelo de Ransomware as a Service (RaaS), este programa malicioso se ha especializado en atacar grandes empresas y entidades gubernamentales alrededor del mundo, en la actualidad también atacan específicamente objetivos en Rusia.

Detectado por primera vez en septiembre de 2019, LockBit3 ha evolucionado rápidamente, demostrando una capacidad notable para adaptarse y superar las medidas de seguridad implementadas para anularlo. Su eficacia se ve reflejada en su responsabilidad por el 20% de los ataques de ransomware registrados en el último mes, según el informe de Check Point Software.

Este ransomware no solo cifra los archivos de sus víctimas, sino que también amenaza con filtrar información confidencial en «shame sites» para presionar a las víctimas a pagar el rescate, un método de doble extorsión que subraya su enfoque agresivo y calculador.

Los ciberdelincuentes detrás de LockBit 3.0 han demostrado una sofisticación y un enfoque metódico en sus ataques, empleando una gama de métodos de acceso inicial para infiltrarse en las redes de sus víctimas. Estos incluyen la explotación del protocolo de escritorio remoto (RDP), el empleo de técnicas Drive-by, y la ejecución de campañas de phishing y spear phishing.

8Base

8Base ha surgido como una significativa importancia en el ámbito del ransomware desde su aparición en marzo de 2022. Este grupo cibercriminal ha capturado la atención de los expertos en ciberseguridad por su notable aumento en actividad, particularmente a mediados de 2023.

Lo que distingue a 8Base de otros actores de amenazas es su adopción de diversas variantes de ransomware, con Phobos como principal, lo que proporciona que sea muy adaptable y versátil en los ciberataques.

Este grupo opera con un alto nivel de sofisticación, empleando técnicas avanzadas que incluyen tácticas de doble extorsión, una estrategia que no solo cifra los datos de las víctimas, sino que también amenaza con hacer pública su información confidencial si no se cumple con el pago del rescate.

La actividad de 8Base, responsable del 10% de los ataques de ransomware en este comienzo de 2024, subraya la evolución continua y la eficacia que tiene dentro del mundo del ransomware.

Akira

El ransomware Akira, detectado por primera vez a principios de 2023, se ha establecido rápidamente como un agente de amenaza considerable en el escenario del cibercrimen.

Dirigido específicamente a sistemas operativos Windows y Linux, Akira se distingue por su uso de técnicas de cifrado simétrico avanzadas, utilizando algoritmos como CryptGenRandom y Chacha 2008 para cifrar archivos de manera eficiente.

Este ransomware se propaga a través de múltiples vectores, incluyendo archivos maliciosos adjuntos en correos electrónicos y explotación de vulnerabilidades en endpoints de VPN, mostrando su capacidad para adaptarse y entrar en diferentes entornos de red. Una vez que infecta un sistema, Akira cifra los datos y marca los archivos afectados con la extensión “.akira”, seguido por una petición de rescate para la recuperación de los datos.

Con un 9% de los ataques registrados en el último mes, Akira también muestra su evolución constante y la sofisticación en sus ataques.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre