Así ha evolucionado la cadena de ataque del ransomware

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

Los ataques de ransomware están a la orden del día, y no dejan de aumentar, según un análisis que ha realizado Proofpoint  desde 2013 hasta hoy. Según sus datos, los operadores de ransomware suelen contactar con ciberdelincuentes independientes que se infiltran en objetivos importantes para vender ese acceso a cambio de una parte de las ganancias. Entre esos actores maliciosos, que forman parte de las redes de afiliados de ransomware, podrían estar los que distribuyen malware y otros troyanos bancarios. Estos intermediarios de acceso inicial comprometen a las organizaciones víctimas con malware en una primera etapa para dejar paso luego a los operadores de ransomware que desplegarán operaciones de robo y cifrado de datos.

Las investigaciones de Proofpoint revelan que los troyanos bancarios han sido el malware más popular durante la primera mitad de 2021, y representaron casi el 20% del malware detectado en este tipo de campañas. También han observado ransomware desplegado mediante el troyano de acceso remoto (RAT) SocGholish, que emplea actualizaciones falsas y redireccionamientos de sitios web para infectar a los usuarios, así como mediante el sistema de distribución de tráfico (TDS) Keitaro o kits de exploits con los que se busca evadir la detección. Asimismo, los autores de ransomware aprovechan vulnerabilidades del software que se ejecuta en dispositivos de red o bien de servicios de acceso remoto con el objetivo de conseguir ese acceso inicial para sus ataques.

Dentro del mapa del ecosistema del ransomware, Proofpoint rastrea en la actualidad aproximadamente una docena de actores de amenazas que operan potencialmente como intermediarios de acceso inicial. Sin embargo, resulta difícil confirmar la colaboración entre estos agentes de acceso y los de ransomware, ya que estos últimos trabajan muy duro para conseguir ocultar su identidad y evitar ser detectados.

Antes de su desmantelamiento a principios de este año, Emotet era uno de los principales distribuidores de malware que provocaba infecciones de ransomware entre 2018 y 2020. Desde que fue desarticulado, los investigadores han observado una actividad constante de The Trick, Dridex, Qbot, IcedID, ZLoader y Ursnif, entre otros, como carga útil de primera etapa en intentos de infección posterior, incluidos los ataques de ransomware. Los investigadores han monitorizado también algunos downloaders, como Buer Loader y BazaLoader, que suelen utilizarse como vector inicial del ransomware. En los últimos seis meses, Proofpoint ha observado unas 300 campañas de este tipo que contenían casi seis millones de mensajes maliciosos. El ransomware Conti, por ejemplo, ha sido vinculado a loaders de primera fase del tipo de Buer, The Trick, Zloader e IcedID. Y, del mismo modo, IcedID se ha asociado con los ransomware Sodinokibi, Maze y Egregor.

Entre los grupos de ataque de gran volumen se encuentran actores rastreados como TA577 y TA800, por citar algunos de los incluidos en la lista que recoge el informe de amenazas de Proofpoint. TA577 ha sido monitorizado desde mediados de 2020 y lleva a cabo amplios ataques en todos los sectores y regiones utilizando cargas útiles como Qbot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike. Según los investigadores, su actividad ha aumentado un 225% solo en los últimos seis meses. Por su parte, TA800 está relacionado con informes de terceros que detallan el empleo del malware BazaLoader para distribuir el ransomware Ryuk. 

En cambio, el volumen del ransomware que se distribuye directamente por correo electrónico, ya sea con archivos adjuntos o enlaces maliciosos, es considerablemente menor. Entre 2020 y lo que llevamos de 2021, Proofpoint ha identificado tan solo 54 campañas de ransomware que incluían poco más de un millón de mensajes. El 95% correspondía al ransomware Avaddon, aunque también se ha registrado actividad de otros como Hentai OniChan, BigLock, Thanos, Demonware y Xorist. Aunque estos ataques de ransomware en primera fase tuvieron su punto álgido a partir de 2015, los datos de Proofpoint muestran una caída significativa en 2018 debido a factores como mejoras en la detección de amenazas, acciones de cifrado individuales que tuvieron pagos limitados, así como otras amenazas con capacidades exponencialmente más disruptivas.

Ahora los autores de ransomware llevan a cabo una auténtica "caza mayor", dicen los expertos de Proofpoint, en la que identifican a los objetivos susceptibles o a las organizaciones de más valor, al mismo tiempo que analizan la posible disposición de las mismas a pagar el consecuente rescate. Al trabajar con intermediarios de acceso inicial, pueden aprovecharse de puertas traseras o backdoors existentes para realizar movimientos laterales antes de desplegar la carga útil de ransomware. Y cada vez tardan menos: en algunos incidentes los plazos de infección son de apenas dos días frente a la media de 40 días que había en 2019.

Este especialista en seguridad ve, no obstante, posible que con los nuevos esfuerzos centrados en las amenazas y las crecientes inversiones para la ciberdefensa de las cadenas de suministro, los ataques de ransomware puedan disminuir tanto en frecuencia como en eficacia.