Play elimina las barreras de entrada que impiden que los delincuentes novatos ejecuten ataques de ransomware.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
En días recientes, un análisis de la unidad de investigación de SILIKN, encontró que el grupo cibercriminal de ransomware conocido como Play, inició la venta de su malware como servicio.
El ransomware como servicio (RaaS) ha tenido un impacto significativo en el mundo de la ciberseguridad y en diversas organizaciones en todo el mundo, pues se trata de un modelo en el que los ciberdelincuentes ofrecen acceso a herramientas de ransomware a otros criminales, permitiéndoles llevar a cabo ataques de ransomware sin tener que desarrollar la infraestructura de malware desde cero.
De origen ruso, Play, ha sido responsable de ataques a empresas y organizaciones gubernamentales en todo el mundo desde que se descubrió por primera vez en 2022 al impactar a diversas agencias gubernamentales en América Latina, especialmente de Brasil, Argentina, Uruguay y República Dominicana. Algunas semanas después Play dirigió sus ataques contra objetivos en Estados Unidos y Europa.
En México, Play, logró vulnerar a organizaciones como Ferre Barniedo, empresa líder en la distribución de acero y a Grupo Comercial Control, empresa líder en el comercio detallista, integrada por las tiendas departamentales Del Sol, Woolworth y los restaurantes Noreste Grill.
Un punto importante es que Play, como la mayoría de los ransomware actuales, emplea tácticas de doble extorsión: roba los datos de las víctimas antes de cifrar sus redes. En este sentido, Play utiliza una variedad de técnicas para atacar a sus víctimas, incluyendo el phishing, la explotación de vulnerabilidades y el acceso a las redes a través de cuentas comprometidas. Una vez que ha logrado acceder a la red, el grupo utiliza un ransomware para cifrar los datos de la víctima y exigir un rescate para su descifrado.
Al poner su malware a disposición de diferentes afiliados, entre los que se encuentran tanto los script kiddies (novatos) como los cibercriminales de nivel medio, Play busca aumentar drásticamente el volumen de ataques.
Es así, como se han estado incrementando los ataques contra las pequeñas y medianas empresas en diferentes partes del mundo, por lo que los equipos de seguridad deben estar atentos a los indicadores de compromiso que se han estado presentando.
En principio se ha descubierto que Play utiliza las mismas herramientas y metodologías de otros grupos de ransomware como Hive (ahora Hunters) y Nokoyawa. Incluso se estima que el grupo sea operado por la misma gente.
Cabe mencionar que los ataques de ransomware son muy lucrativos, sobre todo porque alrededor del 80% de las empresas atacadas pagan el rescate. Y como la doble extorsión se está convirtiendo en la norma, las organizaciones que no pagan son avergonzadas públicamente por los criminales, tanto en foros en Internet, como en la Deep Web o en la Dark Web.
Para los script kiddies, el ransomware puede parecer una excelente manera de ganarse la vida. Además, con altas tasas de desempleo en muchos países de América Latina y otras partes del mundo, el cibercrimen puede resultar atractivo para programadores informáticos subempleados o mal pagados, o personas con carreras similares.
Ahora que Play ha dado a conocer que sus kits de ransomware vienen con todo lo que un atacante necesita, incluida documentación, foros, soporte técnico y asesoría para la negociación de rescate, los script kiddies están acudiendo al llamado para poner en práctica sus habilidades. Y dado que hoy en día probablemente hay más script kiddies, las empresas y las autoridades deben prepararse para una creciente ola de incidentes.
Para más información, visite: https://www.silikn.com/