Un cambio de táctica en los ataques de ransomware puede ser la antesala del regreso de grandes campañas

  • Endpoint

El equipo de investigación de Proofpoint ha constatado un ligero aumento de los ataques de ransomware vía email en mayo. Sin embargo, lo que llama su atención es que los ciberdelincuentes han cambiado su táctica, lo que podría suponer "el regreso de las grandes campañas de ransomware detectadas en 2018".

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Los ataques de ransomware por correo electrónico han aumentado ligeramente durante el mes de mayo a nivel global, según ha constatado el equipo de investigación de Proofpoint. Avaddon, Buran, Darkgate, Philadelphia, Mr. Robot o Ranion han sido algunas de las familias de utilizadas en estos ataques.

Cada una de ellas dejaba encriptados los archivos de la víctima hasta que se pagase su rescate. A diario se producían entre uno y 350.000 mensajes por campaña, llegando incluso a más de un millón de mensajes como así ha sido en el caso de Avaddon entre los días 4 y 10 de junio. Estos ataques se han dirigido principalmente a los sectores de educación, fabricación, transporte, entretenimiento, tecnología, salud y telecomunicaciones.

Los atacantes enviaban mensajes en el mismo idioma que distintos usuarios ubicados en Estados Unidos, Francia, Alemania, Grecia e Italia. Siguiendo con el caso de Avaddon, cuya aparición es la más reciente de las familias de ransomware mencionadas, se optaba por seguir el modelo de ransomware como servicio (RaaS) mediante el cual los ciberdelincuentes pagan a otros por el uso del malware en lugar de crear ellos mismos el software malicioso y la infraestructura. Para llamar la atención, en los asuntos del correo electrónico se ponían frases del tipo "¿eres tú?", "¿lo conoces?" o "me gusta esta foto" y, una vez abierto el archivo adjunto, aparecía un mensaje en pantalla en el que se pedía a la víctima el pago de una cantidad en bitcoins para desencriptar los documentos, entre otras trabas. El coronavirus también era el cebo de los correos de las campañas maliciosas con el ransomware Mr. Robot, que avisaban de supuestos resultados de analíticas para detectar el virus en pacientes, mientras que en el caso de Philadelphia, los correos simulaban proceder de fuentes institucionales que hablaban del cierre de empresas a causa de la pandemia. 

Lo novedoso de este repunte es que los ciberdelincuentes han empleado "el software malicioso como payload de primera fase, al contrario de lo que se hacía hasta hace un año cuando se usaban primero downloaders y después éstos lanzaban el ransomware como payload secundario o final", explican los expertos de la compañía.

Esta reaparición del ransomware como payload inicial se ha producido de forma inesperada tras un largo periodo de relativa calma, explican los expertos expertos de Proofpoint. A su juicio, este cambio en las tácticas de los ciberdelincuentes podría ser un indicador de la vuelta del ransomware con nuevos señuelos.

No obstante, el volumen de estos ataques es bajo, si se compara con la actividad registrada en 2018.

TAGS Ransomware