Trend Micro: reduciendo el riesgo de ransomware con una gestión proactiva de la superficie de ataque
El ransomware es un tipo de malware diseñado para cifrar los datos de una víctima y exigir un pago de rescate a cambio de la clave de descifrado. Lo que hace que el ransomware sea especialmente destructivo es su capacidad de bloquear completamente el acceso a los datos, lo que a menudo hace imposible la recuperación sin copias de seguridad recientes. Incluso cuando se pagan rescates, es posible que las víctimas nunca reciban una clave de trabajo.
El ransomware ha evolucionado hasta convertirse en un modelo de cibercrimen como servicio conocido como ransomware como servicio (RaaS) que ha ampliado su alcance. Este nuevo enfoque permite a los desarrolladores de ransomware arrendar sus herramientas de ransomware a las filiales, lo que resulta en más ataques.
Cada año han surgido más grupos de ransomware, cada uno con tácticas, objetivos e impactos distintos. A continuación se muestran 15 ejemplos de ransomware que destacan la diversidad y evolución de esta ciberamenaza persistente
RansomHub es un grupo de ransomware como servicio (RaaS) detectado por primera vez en febrero de 2024 y ha ganado rápidamente notoriedad por su estrategia de "búsqueda de grandes juegos", al dirigirse a grandes empresas con más probabilidades de pagar rescates sustanciales. RansomHub, rastreado por Trend Micro como Water Bakunawa, ha sido observado explotando vulnerabilidades en copias de seguridad de almacenamiento en la nube e instancias de Amazon S3 mal configuradas, aprovechando la confianza entre proveedores y clientes para mejorar sus tácticas de extorsión.
Rhysida es un grupo de ransomware que salió a la luz a principios de 2023, empleando tácticas de doble extorsión tanto cifrando los datos de las víctimas como amenazando con publicarlos a menos que se pague una demanda de rescate en Bitcoin. Se enmascaran como un equipo de ciberseguridad que ofrece ayuda a sus víctimas destacando las debilidades de seguridad en sus redes y sistemas. Utilizarán ataques de phishing para obtener acceso inicial y realizar un seguimiento con balizas de impacto de cobalto para el movimiento lateral en máquinas comprometidas antes de implementar su ransomware.
Figure 1: The RansomHub ransomware observed infection chain
Akira surgió a principios de 2023 y rápidamente se estableció como una de las familias de ransomware más conocidas. Akira utiliza tácticas de extorsión doble, un modelo de entrega de ransomware como servicio (RaaS) y opciones de pago poco convencionales, un enfoque que ha contribuido a su éxito operativo. Akira es conocida por exigir grandes pagos de rescate que pueden oscilar entre 200 000 USD y más de 4 millones de USD.
El ataque de ransomware WannaCry en mayo de 2017 explotó una vulnerabilidad de Microsoft Windows que infectó más de 200 000 sistemas en más de 150 países. El malware cifraba archivos y exigía pagos de rescate en Bitcoin para claves de descifrado. Una de las mayores víctimas del ataque de WannaCry fue el Servicio Nacional de Salud (NHS) del Reino Unido, con hasta 70 000 dispositivos infectados y aproximadamente 19 000 citas médicas o procedimientos cancelados.
Figure 2: Infection diagram
El ransomware Clop, a veces conocido como Cl0p, lleva activo desde 2019 y es conocido por sus tácticas de extorsión multinivel y sus ataques de alto perfil, que extorsionan más de 500 millones de dólares entre 2019 y 2021. Clop también ha aprovechado vulnerabilidades en software ampliamente utilizado, como File Transfer Appliance de Accellion, para maximizar su alcance.
8Basees un grupo de ransomware que se hace pasar por comprobadores de penetración a la vez que se dirige principalmente a pequeñas empresas. Emplean una estrategia de doble extorsión, cifrando datos y amenazando con exponer información confidencial a menos que las víctimas paguen un rescate. 8Base adopta una táctica de "nombre y vergüenza" y afirma dirigirse exclusivamente a organizaciones que han descuidado la privacidad de los datos, con el objetivo de dañar la reputación de sus víctimas al exponer información confidencial.
El grupo de ransomware Trigona ha evolucionado rápidamente al lanzar múltiples versiones con distintas capacidades, incluidos argumentos de línea de comandos para el cifrado personalizado. Anunciaron agresivamente cuotas de ingresos altos del 20 % al 50 % para las filiales, lo que indica una operación lucrativa. Sin embargo, sus actividades cesaron abruptamente en octubre de 2023 cuando se desmontó su sitio de fuga, dejando su estado operativo incierto.
Figure 3: Trigona ransomware’s infection chain
LockBit es un destacado grupo de ransomware que opera en un modelo de ransomware como servicio (RaaS). Han lanzado varias versiones, incluidas LockBit 2.0 y 3.0, introduciendo funciones como tácticas de doble extorsión y métodos de cifrado personalizados. En febrero de 2024, la Operación Cronos, un esfuerzo coordinado de aplicación de la ley internacional, interrumpió significativamente las operaciones de LockBit al incautar su infraestructura y detener a los miembros clave. A pesar de estos contratiempos, LockBit sigue siendo una amenaza significativa en el panorama del ransomware.
BlackCat, también conocido como ALPHV o AlphaVM, es un sofisticado grupo de ransomware que opera en un modelo de ransomware como servicio (RaaS) desde finales de 2021. Se han dirigido a varias industrias, incluidos servicios financieros y profesionales, con un número significativo de víctimas en los Estados Unidos. BlackCat utiliza técnicas avanzadas, como el malverting y la explotación de vulnerabilidades como Log4J, para obtener acceso inicial. También son conocidos por su sitio público de filtración de datos, que ejerce presión sobre las víctimas para satisfacer las demandas de rescate.
Ryuk es una variante de ransomware vinculada al grupo de cibercrimen conocido como Wizard Spider. En 2019, Ryuk exigió rescates de hasta 12,5 millones de dólares y fue responsable de algunas de las mayores demandas de rescate ese año, incluidos 5,3 millones y 9,9 millones de dólares. Sus víctimas abarcaron varios sectores, incluidos el gobierno, la atención sanitaria y los medios de comunicación. El grupo también está asociado a otro malware, como TrickBot y Emotet, para facilitar los compromisos iniciales del sistema.
Source: Malwarebytes
Black Basta es un grupo de ransomware que opera como ransomware como servicio (RaaS) y ganó rápidamente importancia en el panorama del ransomware al dirigirse a una amplia gama de industrias e infraestructura crítica en todo el mundo. Se ha observado que el grupo explota vulnerabilidades como QakBot, Brute Ratel y Cobalt Strike para infiltrarse en redes y filtrar datos confidenciales.
Royal, un grupo de ransomware activo desde principios de 2022, ha ganado notoriedad rápidamente por sus tácticas agresivas y altas demandas de rescate, que van desde los 250 000 USD hasta más de 2 millones de USD. Royal emplea métodos de extorsión doble, cifrando y exfiltrando datos, y ha ampliado sus operaciones para dirigirse a sistemas basados en Linux, incluidos servidores ESXi. Sus víctimas abarcan varios sectores, con una importante concentración en Norteamérica.
Figure 5: Royal ransomware’s attack flow
Water Ouroboros, que surgió en octubre de 2023, opera como un grupo de ransomware como servicio (RaaS), supuestamente evolucionando desde el ransomware de Hive tras su interrupción por parte del FBI en enero de 2023. Se centran más en el robo de datos que en el cifrado, la explotación de vulnerabilidades, la ejecución de dumping de credenciales y el uso de malware avanzado escrito en idiomas como Rust. Sus principales objetivos incluyen Estados Unidos, Canadá, Reino Unido, Francia, Alemania e Italia.
Hive es un grupo de ransomware como servicio (RaaS) que surgió en 2021 y se dirigió a diversos sectores a nivel mundial, incluidos atención sanitaria, finanzas y fabricación. Emplean tácticas de doble extorsión, cifran los datos y amenazan con divulgar información confidencial a menos que se pague un rescate. En enero de 2023, el FBI interrumpió las operaciones de Hive, pero el grupo continúa operando bajo diferentes alias.
El año pasado, el 83 % de las organizaciones se enfrentó a múltiples filtraciones con un coste de 4,4 millones de dólares cada una, mientras que la reducción de la exposición al riesgo condujo a un ahorro medio de 1,3 millones de dólares.
Cyber Risk Exposure Management, que forma parte de nuestra plataforma de ciberseguridad empresarial Trend Vision One™, reduce drásticamente los ciberriesgos mediante la detección continua, las evaluaciones en tiempo real y la mitigación automatizada en entornos en la nube, híbridos o locales.
Related Research
Related Article