No es ninguna sorpresa. Los ataques de ransomware siguen siendo una de las mayores amenazas para las organizaciones de todo el mundo. De hecho, el reciente informe de inteligencia de amenazas de Symantec para el tercer trimestre de 2024 confirma que esta forma de ataque cibernético no solo sigue siendo una gran preocupación, sino que continúa evolucionando con nuevas tácticas y actores en escena.
Entre las principales revelaciones del informe se destaca el ascenso meteórico de RansomHub, que ahora ocupa el primer lugar como la operación de ransomware más activa en términos de ataques exitosos.
RansomHub: líder en ataques de ransomware
RansomHub comenzó su actividad en febrero de 2024, pero en menos de un año ha logrado posicionarse como el principal actor en el ecosistema del ransomware. Según el informe de Symantec, en el tercer trimestre de 2024, RansomHub reclamó un total de 191 víctimas publicadas en sitios de filtración de datos, lo que representa un crecimiento del 155% en comparación con el trimestre anterior.
Este rápido ascenso lo coloca por encima de otros grupos de ransomware que durante mucho tiempo han dominado este campo.
El éxito de RansomHub parece estar impulsado por su capacidad para atraer a afiliados experimentados a su operación de ransomware como servicio (RaaS), un modelo en el que los desarrolladores de ransomware alquilan su software malicioso a otros ciberdelincuentes a cambio de una parte de las ganancias.
Según Symantec, RansomHub ofrece condiciones más atractivas que las de sus competidores, lo que ha permitido al grupo atraer a más afiliados y expandir rápidamente su alcance.
Ransomware: El nivel de amenaza sigue siendo alto
El informe de Symantec, titulado Ransomware: el nivel de amenaza sigue siendo alto en el tercer trimestre, destaca que los ataques de ransomware continúan en aumento a nivel global, a pesar de una ligera disminución en el número total de ataques declarados.
En el tercer trimestre de 2024, los actores de amenazas reportaron un total de 1,255 ataques, una leve caída respecto a los 1,325 ataques registrados en el segundo trimestre. Sin embargo, Symantec advirtió que la tendencia general es de un aumento sostenido en los ataques de ransomware, lo que subraya la persistente gravedad de la amenaza.
El declive de LockBit y el ascenso de nuevos actores
El ascenso de RansomHub ha ocurrido a expensas de otros grupos de ransomware que hasta hace poco lideraban el ranking. Un ejemplo destacado es LockBit, que durante mucho tiempo fue considerado el grupo de ransomware más prolífico. En el segundo trimestre de 2024, LockBit se jactó de haber realizado tres veces más ataques exitosos que su competidor más cercano, Qilin. Sin embargo, en el tercer trimestre, LockBit experimentó una sorprendente caída del 88% en el número de ataques publicados, pasando de dominar a solo 188 víctimas.
El declive de LockBit puede estar relacionado con una operación internacional de aplicación de la ley que tuvo lugar en febrero de 2024, lo que afectó su nivel de actividad en el primer trimestre.
Aunque la operación pareció haberse recuperado en el segundo trimestre, Symantec sugiere que la intervención de las autoridades podría haber provocado una pérdida de confianza entre los afiliados de LockBit, ya que las autoridades afirmaron haber recopilado información que podría identificar a algunos de estos colaboradores.
Por otro lado, Qilin, otro grupo relevante en el ecosistema del ransomware, ha visto una tendencia positiva. El número de víctimas de Qilin aumentó un 44% en el tercer trimestre, alcanzando las 140 publicaciones de filtración de datos, lo que refleja una expansión en sus actividades.
Disparidad entre ataques declarados y ataques investigados
Una observación importante del informe de Symantec es la disparidad entre los ataques de ransomware declarados públicamente y los que han sido investigados por sus propios investigadores.
En el caso de RansomHub, por ejemplo, aunque reclamó un 33% de los ataques investigados por Symantec en el tercer trimestre, solo declaró el 15% de los ataques públicamente. Esta disparidad puede explicarse por el hecho de que no todas las víctimas optan por publicar en sitios de filtración de datos. Muchas prefieren pagar el rescate en privado, evitando la exposición pública de sus datos comprometidos.
Por el contrario, LockBit, que reclamó solo el 7% de los ataques investigados, declaró una mayor proporción públicamente, con un 15% de participación en las publicaciones de fugas de datos. Estas discrepancias resaltan que el análisis de los sitios de filtraciones no siempre ofrece una imagen completa del impacto real de los ataques de ransomware.
Herramientas y técnicas populares utilizadas en ransomware
Symantec también identificó las herramientas y técnicas más comúnmente observadas en los ataques de ransomware durante el tercer trimestre de 2024. Estas incluyen:
Vivir de la tierra. Esta técnica se basa en el uso de utilidades nativas de Windows para llevar a cabo movimientos laterales, ejecutar comandos y realizar otras acciones sin activar las alarmas de los sistemas de seguridad.
Traer su propio controlador vulnerable (BYOD) Los atacantes utilizan controladores vulnerables que ya están firmados para obtener acceso al kernel del sistema. Esto les permite eliminar procesos de seguridad críticos sin ser detectados.
Escritorio/administración remota. Herramientas legítimas como RDP, AnyDesk y Splashtop son comúnmente abusadas para proporcionar a los atacantes acceso remoto a las máquinas de las víctimas.
Exfiltración de datos. El robo de datos antes de cifrarlos, conocido como doble extorsión, sigue siendo una estrategia predominante en los ataques de ransomware. Rclone es la herramienta más popular para la exfiltración de datos, aunque las herramientas de administración remota también son usadas para este fin.
El informe de Symantec deja claro que el ransomware sigue siendo una de las amenazas más significativas en el panorama de la ciberseguridad. El ascenso de RansomHub como la operación de ransomware número uno demuestra cómo los grupos criminales pueden adaptarse rápidamente y aprovechar el modelo de ransomware como servicio para expandir su alcance.
A medida que los cibercriminales perfeccionan sus técnicas y herramientas, es crucial que las empresas y organizaciones se mantengan alerta, fortalezcan sus defensas y adopten medidas proactivas para prevenir estos ataques devastadores.
