El panorama del ransomware ha experimentado un cambio significativo en el primer semestre de 2024. El Índice Global de Amenazas de Check Point Software para junio revela que RansomHub ha destacado como el principal grupo prevalente de ransomware como servicio (RaaS), reemplazando a LockBit3. Este cambio se produce en un contexto de creciente sofisticación y proliferación de campañas de ransomware, con nuevas amenazas que se suman a la mezcla, como el backdoor BadSpace.

RansomHub ha evolucionado rápidamente desde su aparición, incorporando técnicas y herramientas avanzadas para maximizar su impacto. Inicialmente considerado una reencarnación del ransomware Knight, RansomHub ha desarrollado su propia identidad, caracterizada por su eficiencia y capacidad para evadir las medidas de seguridad tradicionales.

RansomHub utiliza una variedad de métodos para infectar sistemas, incluyendo ataques de phishing, exploits de vulnerabilidades conocidas y técnicas de ingeniería social. Su capacidad para adaptarse y evolucionar rápidamente lo convierte en una amenaza formidable. Los ciberdelincuentes detrás de RansomHub también emplean estrategias de ransomware como servicio (RaaS), permitiendo que otros delincuentes utilicen su infraestructura a cambio de una parte de los ingresos generados por los rescates.

La caída de LockBit3 y el ascenso de RansomHub

LockBit3, que una vez dominó el escenario del ransomware, ha visto una disminución drástica en su actividad. Las fuerzas de seguridad llevaron a cabo acciones significativas contra este grupo en febrero, lo que resultó en una pérdida de lealtad entre sus afiliados. Este debilitamiento se refleja en sus cifras: en abril, LockBit3 registró un mínimo histórico de solo 27 víctimas. Aunque mayo mostró un pico inexplicablemente alto con más de 170 víctimas, junio volvió a mostrar cifras bajas con menos de 20 víctimas. Este patrón sugiere un posible declive o una reestructuración interna que afecta su operatividad.

RansomHub, por otro lado, ha aprovechado la caída de LockBit3 para ascender rápidamente en el panorama del ransomware. Este grupo apareció por primera vez en febrero de 2024 y, según informes, es una reencarnación del ransomware Knight. En junio, RansomHub impactó en casi 80 nuevas víctimas, distribuidas globalmente. Solo el 25% de sus víctimas provienen de Estados Unidos, con un número significativo de víctimas en Brasil, Italia, España y Reino Unido.

Nuevas amenazas en el horizonte

Además del ascenso de RansomHub, los investigadores han identificado una campaña significativa de FakeUpdates (también conocida como SocGholish). Esta campaña ha introducido un nuevo backdoor llamado BadSpace, que se propaga a través de falsas actualizaciones del navegador. FakeUpdates ha sido un downloader prolífico, entregando otros programas maliciosos como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult, afectando al 9.8% de las empresas en España.

Otras amenazas de malware identificadas en el informe incluyen:

  • Androxgh0st: Un botnet que afecta a plataformas Windows, Mac y Linux, explotando múltiples vulnerabilidades en marcos como PHPUnit, Laravel y servidores web Apache. Este botnet ha impactado al 6% de las empresas en España.
  • AgentTesla: Un RAT avanzado que actúa como keylogger y ladrón de información, capaz de monitorear y recopilar la entrada de teclado de la víctima, tomar capturas de pantalla y exfiltrar credenciales. Ha tenido impacto en el 4% de las empresas españolas.

La proliferación del malware como servicio

Malware por suscripción

Una tendencia alarmante en el panorama actual del ransomware es la proliferación del malware como servicio (MaaS). Este modelo de negocio permite a los ciberdelincuentes acceder a herramientas de malware a cambio de una suscripción mensual, que puede oscilar entre 100 y 150 euros. Este acceso democratiza el cibercrimen, permitiendo que incluso personas con pocos conocimientos técnicos participen en actividades delictivas.

La amenaza de Redline

El estudio de NordVPN destaca a Redline como uno de los stealers más sofisticados utilizados por los ciberdelincuentes. Redline es asequible, efectivo y accesible, lo que lo convierte en una herramienta preferida para la recolección de datos y la evasión de la detección. Su despliegue a través de técnicas de ingeniería social y su capacidad de adaptación continua lo hacen especialmente peligroso.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre