Cisco Talos acaba de publicar un informe de amenazas en el que ha 'radiografiado' a los 14 principales grupos de ransomware de 2023 a 2024, analizando minuciosamente sus tácticas, técnicas y procedimientos (TTP).
Su unidad de inteligencia de amenazas ha hecho la selección de bandas en función del volumen y el impacto de los ataques y el comportamiento "atípico" de los actores de amenazas. Para ello, ha echado un ojo a sus páginas de filtraciones, seguimiento interno y otros informes de código abierto.
La lista, ordenada por el número de víctimas, está formada por LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal/Blacksuit, Rhysida, Hunters International, Akira y Trigona.
La firma ha descubierto que la 'Primera División' de los equipos de ransomware va más allá de simplemente cifrar los archivos de las víctimas y exigir un pago para desbloquearlos y, en lugar de ello, están robando informacíón confidencial directamente.
Además, Cisco Talos ha encontrado que las organizaciones más consolidadas sustraen esta información a través del desarrollo de malware personalizado.
"Durante el último año, hemos sido testigos de cambios importantes en el espacio del ransomware con el surgimiento de múltiples nuevos grupos, cada uno con objetivos, estructuras operativas y victimología únicos", señalan los autores del informe .
"La diversificación resalta un cambio hacia actividades cibercriminales más específicas, ya que grupos como Hunters International, Cactus y Akira crean nichos específicos, centrándose en objetivos operativos distintos y elecciones estilísticas para diferenciarse", añaden.
Muchas bandas han recurrido a tácticas de doble extorsión, pero Talos insiste en cómo algunas operaciones de ransomware están desarrollando malware a medida para la exfiltración de datos.
Entre los grupos más maduros que ofrecen dichas herramientas están BlackByte y LockBit. El primero usa Exbyte y el segundo, antes de ser desmantelado por la policía internacional en febrero, contaba con Stealbit.
Otra tendencia que según Cisco Talos refleja su informe es que los equipos de ransomware "se centran en gran medida en las tácticas de evasión de defensa para aumentar el tiempo de permanencia en las redes de las víctimas", han trasladado a The Register.
El modus operandi de otros grupos
Dentro de estos 14 'apóstoles' del ransomware los grupos AlphV/Blackcat y Rhysida han destacado por su amplia gama de tácticas y técnicas, lo que demuestra una importante diversidad estratégica.
Por su parte, Clop se centró principalmente en la extorsión a través del robo de datos en lugar de las típicas tácticas de cifrado y es uno de los únicos actores que explotan vulnerabilidades de día cero.
"Los hallazgos clave indican que muchos de los grupos más destacados en el ámbito del ransomware priorizan el establecimiento de un acceso inicial y la evasión de las defensas en sus cadenas de ataque, destacando estas fases como puntos focales estratégicos. Durante el año pasado, muchos grupos explotaron vulnerabilidades críticas en aplicaciones públicas, convirtiéndose en un vector de ataque predominante, lo que indica una mayor necesidad de controles de seguridad y administración de parches adecuados", han explicado desde Cisco Talos.