¿Qué elementos comunes definen los principales grupos de generación de ataques de ransomware?

Recomendados.... Identidades digitales: centro de la estrategia empresarial. Observatorio ITDS Combatir amenazas desconocidas con tecnologías Cisco. Acceder Industria y Energía, sectores punteros también en digitalización. Encuentro IT

Tal y como se desprende de los datos de Cisco Talos, la división de ciber-inteligencia de Cisco, el ransomware fue la principal ciber-amenaza en 2023, afectando a todo tipo de empresas y sectores como Educación, Sanidad e Industria.

Tras analizar 14 grupos de ransomware destacados entre 2023 y 2024, Cisco Talos ha identificado diversos puntos en común en sus tácticas, técnicas y procedimientos, junto con algunas diferencias notables.

 

Definiendo las puertas de entrada

Según la investigación, los actores de ransomware más prolíficos buscan un acceso inicial a redes específicas y después evadir las defensas, siendo las cuentas válidas el mecanismo de acceso más común. El phishing para obtener credenciales a menudo precede a estos ataques, una tendencia observada en casi todos los compromisos de respuesta frente a incidentes de Cisco Talos durante el pasado año.

Cada vez con mayor frecuencia, estos grupos explotan también vulnerabilidades conocidas y de día cero en aplicaciones públicas, siendo el segundo vector de acceso inicial predominante. AlphV/Blackcat y Rhysida son los que usan tácticas más diversas, mientras BlackBasta y LockBit no sólo cifraron datos, sino que ‘desfiguraron’ también los sistemas de las empresas víctima para maximizar su impacto.

Por su parte, el grupo de ransomware Clop se centró principalmente en la extorsión mediante el robo de datos en lugar de las típicas tácticas de cifrado, y es uno de los actores que más aprovecha las vulnerabilidades de día cero.

 

Cadena de ataques

Los adversarios suelen enviar correos electrónicos que contienen archivos adjuntos maliciosos o enlaces URL que ejecutan código malicioso en el sistema de destino, implementando las herramientas y el malware de los actores y explotando la autenticación multifactor (MFA) aprovechando una implementación deficiente o porque ya tienen credenciales de cuenta válidas.

Una vez logrado el acceso, todos ellos pretenden aumentar el tiempo de permanencia en las redes, siendo la desactivación y modificación del software de seguridad -como programas antivirus y soluciones de detección de terminales- , la ejecución automática del inicio de sistema o la modificación de las entradas del registro los métodos más comunes para evitar la detección de la carga útil del ransomware.

También pueden implementar herramientas de software de acceso remoto y crear cuentas locales, de dominio y/o en la nube para establecer un acceso con credenciales secundarias. Tras establecer este acceso persistente, elevan privilegios al nivel de administrador para avanzar más en la cadena de ataque y comprometer hosts adicionales.