Este año se ha registrado el mayor número de grupos de ransomware activos jamás registrado: 58 atacaron empresas globales en el segundo trimestre. Cyberint, proveedor de plataformas de inteligencia sobre amenazas, informó sólo una ligera caída en el tercer trimestre, con 57 grupos activos.
Además, en el tercer trimestre, los 10 principales grupos de ransomware fueron responsables de sólo el 58,3% de todos los ataques detectados. Esto refleja tanto el aumento en el número de grupos activos en general como una disminución en la actividad de los actores más grandes gracias a derribos exitosos de las fuerzas del orden, como los de ALPHV y Dispossessor.
Adi Bleih, investigador de seguridad de Cyberint, dijo a TechRepublic en un correo electrónico: “El número de grupos de ransomware activos que han alcanzado un máximo histórico significa que las empresas enfrentan un mayor riesgo de ataques, ya que cada una de estas bandas competidoras ahora debe competir por los objetivos. La competencia entre diferentes grupos de ransomware ha impulsado ataques cada vez más frecuentes, dejando muy poco margen de error por parte de los equipos de ciberseguridad empresarial.
“Mientras que las brechas de seguridad y las vulnerabilidades pueden haber pasado desapercibidas anteriormente, la proliferación de grupos de ransomware, todos ellos recorriendo la web en busca de sus próximas víctimas, significa que incluso los errores menores ahora pueden conducir rápidamente a incidentes de seguridad importantes”.
Los grupos de ransomware más prolíficos están sucumbiendo a las operaciones policiales
De hecho, una investigación independiente de WithSecure encontró que de los 67 grupos de ransomware rastreados en 2023, 31 ya no estaban operativos en el segundo trimestre de 2024. NCC Group también observó una disminución interanual en los ataques de ransomware tanto en junio como en julio de este año, lo que expertos vinculados a la interrupción de LockBit.
VER: LockBit vuelve a estar en línea mientras una banda de ransomware continúa chocando con las fuerzas del orden
LockBit solía representar específicamente la mayoría de los ataques, pero con solo 85 ataques en el tercer trimestre, atacó casi un 60% menos de empresas que en el segundo, según el informe de Cyberint. Esto marca el número más bajo de ataques trimestrales del grupo en un año y medio.
Un informe de agosto de Malwarebytes también encontró que la proporción de ataques de ransomware de los que LockBit se atribuyó la responsabilidad cayó del 26% al 20% durante el año pasado, a pesar de llevar a cabo más ataques individuales.
ALPHV, el segundo grupo de ransomware más prolífico, también creó una vacante después de un ciberataque mal ejecutado contra Change Healthcare en febrero. El grupo no pagó a un afiliado su porcentaje del rescate de $22 millones, por lo que el afiliado los expuso, lo que llevó a ALPHV a fingir una toma de control de las autoridades y cesar sus operaciones.
VER: Cronología: 15 ciberataques y violaciones de datos notables
Estas observaciones sugieren que los derribos policiales están resultando efectivos contra las pandillas más establecidas y, al mismo tiempo, abren nuevas oportunidades para grupos más pequeños. Los analistas de Malwarebytes añadieron que las nuevas bandas “seguramente intentarán atraer a sus afiliados y suplantarlos como fuerzas dominantes en el ransomware”.
Pero los analistas de Cyberint son optimistas sobre el efecto dominó de las operaciones de eliminación en los jugadores más pequeños y escriben: “A medida que estas grandes operaciones luchan, es sólo cuestión de tiempo antes de que otros grupos de ransomware, grandes y pequeños, sigan el mismo camino. La actual represión ha creado un ambiente más hostil para estos grupos, lo que indica que su dominio puede no durar mucho más”.
De hecho, en lugar de continuar la tendencia ascendente del segundo trimestre, donde el número de ataques de ransomware aumentó casi un 21,5%, los investigadores de Cyberint descubrieron que los 1.209 casos del tercer trimestre en realidad marcaron una disminución del 5,5%.
VER: Los ciberataques globales se duplicarán de 2020 a 2024, según un informe
El grupo de ransomware más destacado del trimestre fue RansomHub, ya que fue responsable del 16,1% de todos los casos y se cobró 195 nuevas víctimas. Entre los ataques más destacados se incluyen los perpetrados contra el fabricante mundial Kawasaki y la empresa de servicios de petróleo y gas Halliburton. Los analistas de Cyberint afirman que el grupo probablemente tenga sus raíces en Rusia y que tiene conexiones con antiguas filiales del ahora inactivo grupo ALPHV.
El segundo lugar en la lista de grupos de ransomware más activos es Play, que se cobró 89 víctimas y el 7,9% de todos los casos. Supuestamente ha ejecutado más de 560 ataques exitosos desde junio de 2022, y el más destacado de este año tuvo como objetivo el entorno VMWare ESXi.
“Si no se le impide, Play batirá su propio récord de víctimas anuales en 2024 (301)”, escribieron los analistas.
Grupos de ransomware dirigidos a sistemas Linux y VMWare ESXi
El informe de Cyberint señaló una tendencia de que los grupos de ransomware se estén centrando en gran medida en sistemas basados en Linux y servidores VMware ESXi.
VMware ESXi es un hipervisor básico que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. Poner en peligro el hipervisor puede permitir a los atacantes desactivar varias máquinas virtuales simultáneamente y eliminar opciones de recuperación como instantáneas o copias de seguridad, lo que garantiza un impacto significativo en las operaciones de una empresa.
Los grupos de ransomware Play y Cicada3301 desarrollaron ransomware dirigido específicamente a servidores VMWare ESXi, mientras que Black Basta ha explotado vulnerabilidades que les permiten cifrar todos los archivos de las máquinas virtuales.
VER: Black Basta Ransomware afectó a más de 500 organizaciones en todo el mundo
Los sistemas Linux también suelen albergar máquinas virtuales y otra infraestructura empresarial crítica. Este enfoque pone de relieve el interés de los ciberatacantes por obtener un enorme beneficio al ejecutar el máximo daño en las redes corporativas.
Los atacantes utilizan malware personalizado y explotan herramientas legítimas
La sofisticación de las técnicas de los grupos de ransomware ha aumentado considerablemente durante el último año, y los investigadores de Cyberint observaron que los atacantes utilizan malware personalizado para eludir las herramientas de seguridad. Por ejemplo, la pandilla Black Basta utilizó una serie de herramientas personalizadas después de obtener acceso inicial a los entornos objetivo.
Los atacantes también están explotando herramientas legítimas de seguridad y almacenamiento en la nube para evadir la detección. Se observó que RansomHub utilizaba el eliminador de rootkit TDSSKiller de Kaspersky para deshabilitar la detección y respuesta de endpoints y la herramienta de recuperación de contraseñas LaZagne para recopilar credenciales. Además, varios grupos han utilizado las herramientas Azure Storage Explorer y AzCopy de Microsoft para robar datos corporativos y almacenarlos en una infraestructura basada en la nube.
Bleih dijo a TechRepublic: “A medida que estas pandillas tienen más éxito y están mejor financiadas, se vuelven cada vez más sofisticadas y operan de manera similar a una empresa legítima. Si bien a menudo vemos que se utilizan los mismos vectores de ataque probados y verdaderos (ataques de phishing, uso de credenciales robadas, explotación de vulnerabilidades en activos conectados a Internet), cada vez son más creativos en la forma de ejecutar estas técnicas comunes.
“También se están volviendo cada vez más ágiles y escalables. Por ejemplo, si bien los actores de amenazas siempre han sido expertos técnicamente, ahora pueden comenzar a explotar nuevas vulnerabilidades a escala apenas unos días después de que se documenta un CVE crítico. En el pasado, esto podría haber llevado semanas o quizás más”.
