Los grupos de ransomware adoptan nuevas tácticas y capacidades multiplataforma

  • Endpoint

seguridad ransomware

El 12 de mayo de 2017 pasó a la historia como el día en que el ransomware Wannacry dejó víctimas en una amplia gama de industrias alrededor del mundo. Desde entonces, los grupos de ransomware han ido desarrollándose y teniendo éxito a pesar de algunos desmantelamientos.

Las operaciones de ransomware han recorrido un largo camino desde que WannaCry pusiera en jaque a la ciberseguridad mundial. En general, los grupos de ransomware continúan desarrollándose y teniendo éxito a pesar del desmantelamiento de algunos, buscando formas inusuales de atacar a sus víctimas o acaparando los titulares para que sus ataques sean más relevantes. Para conmemorar el Día Anti-Ransomware, los expertos de Kaspersky han publicado un informe que analiza las nuevas tendencias de ransomware detectadas en 2022.

La primera tendencia a destacar es el uso prolífico de capacidades multiplataforma, con el objetivo es dañar el mayor número de sistemas posible con un mismo malware desarrollando código que se pueda ejecutar en varios sistemas operativos a la vez. Conti, uno de los grupos de ransomware más activos, ha desarrollado una variante que se distribuye a través de afiliados seleccionados y se dirige a Linux, mientras que BlackCat ha atacado a más de 60 organizaciones con su malware desarrollado en Rust.

Otra tendencia es el cambio regular de marca para desviar la atención de las autoridades y la actualización de las herramientas de exfiltración. Algunos grupos desarrollaron e implementaron kits de herramientas completos que se parecían a los de compañías de software benignas. Un ejemplo notable de la evolución de una banda de ransomware es Lockbit, cuya organización cuenta con una serie de mejoras en comparación con sus rivales, incluidas actualizaciones periódicas y reparaciones de su infraestructura. También cuenta con StealBIT, una herramienta personalizada de exfiltración de ransomware que permite la exfiltración de datos a velocidades nunca antes vistas.

La tercera tendencia de la que han sido testigos los expertos de Kaspersky es que la situación geopolítica, en referencia al conflicto en Ucrania, ha tenido un gran impacto en el panorama del ransomware. Aunque estos ataques suelen estar asociados con actores de amenazas persistentes avanzadas (APT), se han detectado varias actividades importantes en foros dedicados al cibercrimen y acciones de grupos de ransomware en respuesta a la situación. Poco después de que comenzara el conflicto, los grupos de ransomware tomaron partido, lo que condujo a ataques en apoyo de Rusia o Ucrania. Uno de los programas maliciosos que se descubrió recientemente durante el conflicto es Freeud, desarrollado por los partidarios de Ucrania, que cuenta con funcionalidad de borrado.

“Si el año pasado dijimos que el ransomware estaba floreciendo, este año está en apogeo. Aunque los principales grupos de ransomware del año pasado se vieron obligados a abandonar sus actividades, han aparecido nuevos actores con técnicas nunca antes vistas”, comenta Dmitry Galov, investigador sénior de seguridad del Equipo de análisis e investigación global de Kaspersky. “Sin embargo, a medida que las amenazas de ransomware evolucionan y se expanden, tanto tecnológica como geográficamente, se vuelven más predecibles, lo que nos ayuda a detectarlas y defendernos mejor de ellas”.