Las familias de ransomware más activas y fructíferas, y las tácticas que utilizan

Guardar

El grupo de ciberdelincuentes Ransom House ha realizado la tercera filtración de datos robados en el ciberataque contra el Hospital Clínic de Barcelona
El grupo de ciberdelincuentes Ransom House ha realizado la tercera filtración de datos robados en el ciberataque contra el Hospital Clínic de Barcelona

La compañía de seguridad en la nube Zscaler ha anunciado la publicación de un nuevo informe sobre el ransomware que incluye un análisis de las principales tendencias de este tipo de ataques así como detalles de los actores más prolíficos, de sus técnicas de ataque y de las industrias más vulnerables que tienen como objetivo.

Para identificar las variantes emergentes de ransomware, sus orígenes y cómo detectarlas, el equipo de investigación de la empresa, Zscaler ThreatLabz, ha analizado más de 150.000 millones de transacciones que se procesaron en su plataforma junto con 36.500 millones de ataques bloqueados entre noviembre de 2019 y enero de 2021. El informe también describe un creciente riesgo de ataques de doble extorsión, que son cada vez más utilizados por los ciberdelincuentes para bloquear a las empresas y mantener los datos como rehenes para solicitarlas un rescate.

El ransomware, una amenaza a la seguridad nacional

De acuerdo al Informe de Riesgos Globales 2020 del Foro Económico Mundial, el ransomware fue el tercer tipo de ataque de malware más común y el segundo más dañino registrado en 2020. Los pagos se sitúan en una media de 1,45 millones de dólares por incidente, por lo que resulta claro entender por qué los ciberdelincuentes acuden cada vez más a este nuevo método de extorsión de alta tecnología. A medida que aumentan las ganancias derivadas de este tipo de delitos, también crecen los riesgos para las entidades gubernamentales, los beneficios de las empresas, la reputación, la integridad de los datos, la confianza de los clientes y la continuidad del negocio.

El informe de Zscaler apoya la tesis recientemente formulada por el gobierno federal de los Estados Unidos, que clasifica el ransomware como una amenaza a la seguridad nacional; subrayando la necesidad de priorizar las medidas de mitigación y contingencia a la hora de protegerse contra estas continúas amenazas.  

"En los últimos años, la amenaza del ransomware se ha vuelto cada vez más peligrosa, con nuevos métodos como la doble extorsión y los ataques DDoS que facilitan a los ciberdelincuentes sabotear las organizaciones y causar un daño a largo plazo a su reputación", ha señalado Deepen Desai, CISO y VP de Investigación de Seguridad en Zscaler.

"Nuestro equipo prevé que los ataques de ransomware serán cada vez más selectivos en su naturaleza, con los que los ciberdelincuentes golpearán a aquellas organizaciones que tienen una mayor probabilidad de pagar el rescate. Hemos analizado los recientes ataques de ransomware en los que los ciberdelincuentes tenían conocimiento de aspectos como la cobertura del ciberseguro de la víctima, así como de los proveedores de la cadena de suministro críticos, lo que les coloca en la diana de estos ataques. Por lo tanto, es fundamental que las empresas comprendan mejor el peligro que representa el ransomware y tomen las precauciones adecuadas para evitar un ataque. Siempre hay que parchear las vulnerabilidades, entrenar a los empleados en la detección de correos electrónicos sospechosos, hacer copias de seguridad de los datos con regularidad, implementar una estrategia de prevención de pérdida de datos y utilizar una arquitectura de confianza cero para minimizar la superficie de ataque y evitar el movimiento lateral".

El aumento de los ataques de doble extorsión y los sectores más afectados

A finales de 2019, ThreatLabz observó una creciente preferencia por los ataques de "doble extorsión" en algunas de las familias de ransomware más activas e impactantes. Tal y como explica la compañía, este tipo de ataques se definen por una combinación de cifrado no deseado de datos sensibles por parte de actores maliciosos y de la extracción de los archivos más significativos para pedir un rescate. Las organizaciones afectadas, incluso si son capaces de recuperar los datos de las copias de seguridad, se ven entonces amenazadas con la exposición pública de sus datos robados por parte de grupos delictivos que exigen un rescate.

A finales del año pasado, el equipo observó que esta táctica se vio incrementada con ataques DDoS sincronizados, sobrecargando los sitios web de las víctimas y ejerciendo una presión adicional sobre las organizaciones para que cooperen.

Según Zscaler ThreatLabZ, hay muchos sectores diferentes que han sido objetivo de ataques de ransomware de doble extorsión en los últimos dos años. Entre más atacados, destaca los siguientes:

  1. Industria manufacturera (12,7%)
  2. Servicios (8,9%)
  3. Transporte (8,8%)
  4. Comercio minorista y mayorista (8,3%)
  5. Tecnología (8%)

Los cinco grupos de ransomware más activos

Durante el último año, ThreatLabz ha identificado siete "familias" de ransomware que se observaron con más frecuencia que otras. El informe analiza los orígenes y las tácticas de los cinco grupos más activos: Maze/Egregor, Conti, Doppelpaymer, Sodinokibi y DarkSide. A continuación repasamos cada uno de ellos siguiendo la información del estudio de Zscaler.

  • Maze/Egregor: Aparecido inicialmente en mayo de 2019, Maze fue el ransomware más utilizado para los ataques de doble extorsión (contabilizando 273 incidentes) hasta noviembre de 2020, cuando aparentemente dejó de funcionar. Los atacantes utilizaron campañas de correo electrónico de spam, kits de explotación como Fallout y Spelevo, y servicios RDP hackeados para obtener acceso a los sistemas y cobraron con éxito grandes rescates después de encriptar y robar archivos de empresas de TI y tecnología. Los tres principales sectores atacados por Maze fueron la alta tecnología (11,9%), la industria manufacturera (10,7%) y los servicios (9,6%). En particular, Maze se comprometió a no atacar a las empresas del sector sanitario durante la pandemia de la Covid-19.
  • Conti: Detectado por primera vez en febrero de 2020, es la segunda familia de ataques más común, con 190 ataques. Conti comparte código con el ransomware Ryuk y parece ser su sucesor. Conti utiliza la API del gestor de reinicio de Windows antes de cifrar los archivos, lo que le permite cifrar más archivos como parte de su estrategia de doble extorsión. Las víctimas que no quieren o no pueden pagar el rescate, regularmente ven sus datos publicados en el sitio web de filtración de datos de Conti. Los tres sectores más afectados son la industria manufacturera (12,4%), los servicios (9,6%) y transporte (9,0%).
  • Doppelpaymer: Identificado por primera vez en julio de 2019 y con 153 ataques documentados, Doppelpaymer se dirige contra una selección de sectores y suele exigir grandes pagos: de seis y siete cifras. Inicialmente, infecta las máquinas con un correo electrónico de spam, que contiene un enlace malicioso o un archivo adjunto malicioso, y después descarga el malware Emotet y Dridex en los sistemas infectados. Las tres organizaciones más atacadas por Doppelpaymer fueron la industria manufacturera (15,1%), el comercio minorista y mayorista (9,9%) y las administraciones públicas (8,6%).
  • Sodinokibi: También conocido como REvil y Sodin, Sodinokibi fue observado por primera vez en abril de 2019, y se lo ha encontrado con creciente frecuencia a lo largo de 125 ataques. Al igual que Maze, utiliza correos electrónicos de spam, kits de explotación y cuentas RDP comprometidas, además de explotar frecuentemente vulnerabilidades en Oracle WebLogic. Sodinokibi comenzó a utilizar tácticas de doble extorsión en enero de 2020 y el mayor impacto lo causó en el transporte (11,4%), la industria manufacturera (11,4%) y el comercio minorista/mayorista (10,6%).
  • DarkSide: Fue detectado por primera vez en agosto de 2020 tras publicar un comunicado de prensa en el que anunciaba sus servicios. Utilizando un modelo de "ransomware como servicio", DarkSide despliega métodos de doble extorsión para robar y cifrar información. El grupo hace público su programa de objetivos, escribiendo en su página web que no ataca a organizaciones sanitarias, servicios funerarios, centros educativos, organizaciones sin ánimo de lucro o administraciones públicas. En su lugar, los principales objetivos elegidos son los servicios (16,7%), la industria manufacturera (13,9%) y los servicios de transporte (13,9%). Al igual que en el caso de Conti, los que no pueden pagar el rescate ven sus datos publicados en el sitio web de DarkSide.

Mientras que las técnicas de doble extorsión continúan difundiéndose, también se han expandido dando lugar al ransomware de triple extorsión, una nueva modalidad de la que esta misma semana ha advertido Check Point.