El ransomware sigue siendo una amenaza persistente: datos recientes revelan que aún queda mucho por hacer para erradicarlo
Imagen: Zdzisław Beksiński
En los últimos dos años, la operación de ransomware LockBit fue, con diferencia, la más activa en su categoría. Sin embargo, en febrero de 2024, su actividad fue interrumpida por la Operación Cronos, que logró frenar, al menos temporalmente, sus operaciones. Durante su período de actividad, LockBit causó miles de víctimas, obtuvo cientos de millones de dólares en extorsiones y reunió un equipo altamente capacitado de ciberdelincuentes.
Aunque la Operación Cronos no logró erradicar completamente la operación de ransomware, es posible que se registre como uno de los desmantelamientos más exhaustivos de la historia. A pesar de que la infraestructura de LockBit podría ser reconstruida y su blog podría volver a estar en línea, la estructura del grupo sufrió un golpe significativo y no ha vuelto a ser la misma.
Varios meses después de los esfuerzos de las fuerzas del orden por desmantelar la operación, los talentos más destacados de LockBit han abandonado el grupo en busca de equipos que les ofrezcan mejores oportunidades, un soporte técnico superior y, sobre todo, una reputación menos comprometida. Esto deja el futuro de LockBit envuelto en incertidumbre.
En este contexto, ¿cuál es el estado actual de los grupos de ciberdelincuentes especializados en ransomware?
Es relevante destacar que, aunque las fuerzas del orden desmantelaron el grupo hace meses, LockBit 3.0 sigue siendo, hasta mediados de 2024, la banda de ransomware más activa y prolífica.
De los 75 grupos de ransomware que se han monitoreado, cuyos sitios web clandestinos son utilizados para nombrar a las víctimas y filtrar datos robados, solo 5 de ellos fueron responsables de más de la mitad de todas las infecciones registradas: LockBit, Play, 8Base, Akira y BlackBasta.
Es importante señalar que se presentaron varias interrupciones de alto perfil que ocurrieron a principios de este año y a fines del año pasado, por ejemplo, en diciembre de 2023, una operación dirigida por el FBI confiscó los sitios web de ALPHV/BlackCat y lanzó una herramienta de descifrado para su ransomware.
Eso no descarriló por completo al grupo, que volvió a la vida cuando un afiliado bloqueó los sistemas de TI de Change Healthcare y cerró farmacias en todo Estados Unidos. ALPHV realizó una estafa de salida poco después de que supuestamente se pagara el rescate.
Luego, en febrero, vimos el desmantelamiento liderado por la NCA del sitio Tor LockBit 3.0 y el desenmascaramiento y sanción de su líder, Dmitry Khoroshev, también conocido como LockbitSupp, un mes después.
En mayo, la policía internacional tomó el control del sitio web y el canal de Telegram pertenecientes al sitio de corretaje de ransomware BreachForums. Un mes después, arrestaron al líder de Scattered Spider, otra filial de ALPHV.
Por supuesto, estos desmantelamientos por parte de las fuerzas del orden pueden parecer insuficientes ya que muchos de los sitios web criminales vuelven con un nuevo nombre y un nuevo administrador (como lo ha hecho BreachForums, varias veces a lo largo de los años y la más reciente en junio).
Además, algunas de las bandas cambian de marca con éxito y muchos de los afiliados del grupo de ransomware como servicio se dispersan a otras organizaciones criminales después de una redada. Y hay muchos recién llegados ansiosos por dar un paso adelante y entrar en este lucrativo ecosistema criminal.
Todos estos factores probablemente juegan un papel en el ligero aumento general de las infecciones de ransomware reportadas año tras año.
Algunas de las acciones más recientes de las pandillas de ransomware incluyen:
- Una campaña de ingeniería social en curso con presuntamente relacionada con el grupo de ransomware Black Basta se ha vinculado a “múltiples intentos de intrusión” con el objetivo de llevar a cabo el robo de credenciales e implementar un cuentagotas de malware llamado SystemBC.
- Un grupo de ciberdelincuentes presuntamente vinculados con el ransomware RansomHub está utilizando una nueva herramienta diseñada para destruir el software de detección y respuesta de puntos finales (EDR) en hosts comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator.
- Una falla de seguridad — ahora parcheada — en el software Veeam Backup & Replication ha estado siendo explotada por una operación de ransomware de reciente aparición conocida como EstateRansomware.
- Pero también se han presentado avances en la lucha contra estos grupos, pues en días recientes el FBI anunció la interrupción de la infraestructura en línea de Radar/Dispossessor, un nuevo grupo de ransomware. La operación desmanteló servidores en EE.UU., Reino Unido, Alemania, y dominios criminales en ambos países. Fundado en agosto de 2023, Dispossessor se ha expandido rápidamente, atacando a pequeñas y medianas empresas en varios sectores y países, incluyendo Argentina, Australia y Estados Unidos, entre otros. El grupo, que sigue el modelo de ransomware como servicio (RaaS) similar al de LockBit, exfiltra y cifra datos de las víctimas, amenazando con exponer información.
Los ataques cibernéticos actuales suelen explotar fallas de seguridad o contraseñas débiles para obtener acceso elevado y cifrar los datos de las víctimas. Una vez comprometida una empresa, los atacantes contactan proactivamente a otros miembros de la organización a través de correos electrónicos o llamadas, y utilizan enlaces a plataformas de video para mostrar los archivos robados, intensificando la presión para pagar el rescate.
La creciente frecuencia de ataques de ransomware refleja el aumento de los esfuerzos globales de las fuerzas del orden para combatir esta amenaza, mientras los atacantes innovan y adaptan sus métodos, incluyendo el uso de contratistas y proveedores de servicios para facilitar ataques a gran escala que a menudo pasan desapercibidos hasta que se descubren fugas de datos.
Las vulnerabilidades recién descubiertas han impulsado la actividad de ransomware, ya que los atacantes las explotan para acceder a redes, elevar privilegios y moverse lateralmente en entornos comprometidos. Se ha observado un aumento en la aparición de nuevos grupos de ransomware y ataques a organizaciones más pequeñas, que, aunque contienen datos valiosos, suelen tener medidas de seguridad menos robustas.
Además, los modelos de negocio de ransomware como servicio (RaaS) se están profesionalizando, con grupos que imitan las operaciones de empresas legítimas, ofreciendo productos y soporte continuo, y creando ecosistemas colaborativos dentro del mercado del ransomware.
Para más información, visite: https://www.silikn.com/