Ya conversamos un poco del tema en «Ransomware: la amenaza silenciosa que puede paralizar las empresas«. Ahora, llega el momento de conocer los grupos de ransomware más activos en el 2023; entre ellos, destacan AvosLocker, LockBit 3.0, Royal Ransomware y Cl0p.
Outpost24 investigó y tomó varias referencias, incluyendo las del equipo de investigación de KrakenLabs, en las que detallan las tendencias identificadas y los perfiles de las víctimas y de los negocios atacados. Por ejemplo, muchos grupos de ransomware continúan con el modelo de doble extorsión, revelando los nombres de sus víctimas, así como los datos robados en su propio sitio de filtración de datos (DLS).
Grupos de ransomware que amenazan la seguridad global
En cuanto a los grupos que causan los ataques, se puede notar la desaparición de grupos amenazantes prominentes como CONTI y el antiguo REvil (que, en ocasiones, no desaparecen, sino que cambian de nombre), y entidades existentes como LockBit, BlackCat, Hive y Karakurt han demostrado un crecimiento exponencial en el que, incluso, el número de víctimas superó los registros anteriores. También está la aparición de nuevos grupos, como BianLian o Black Basta, que demuestran un nivel de impacto que rivaliza y hasta supera al de los grupos más establecidos.
Según sus registros, durante el 2022 el grupo de ransomware conocido como LockBit exhibió un nivel de actividad significativamente mayor que sus competidores. Fueron responsables del 34 % de todos los ataques registrados durante ese año, con un promedio de aproximadamente 67 ataques por mes; un total de poco más de 800 ataques. Esto es casi cuatro veces el número de ataques atribuidos a BlackCat, el segundo grupo más activo, con 215 víctimas reveladas. En el siguiente gráfico se detallan los grupos que más ataques causaron durante el año pasado:
Se debe detener el auge de estos grupos
Ahora, para este 2023 destacan nuevos nombres de grupos de ransomware:
AvosLocker
Utiliza el modelo de ransomware como servicio (RaaS), añade la extensión .avos a y hace sus informes de servicios en el foro de la dark web Dread. Pide por rescate entre 50.000 y 75.000 dólares en la billetera digital Monero, y han infectado siete organizaciones de todo el mundo, atacando a infraestructuras críticas en diferentes sectores de Estados Unidos, Canadá, Reino Unido y España. Tiene una variante para Linux que puede atacar a máquinas virtuales VMware ESXi y archivos VMFS.
AvosLocker usa la herramienta de administración remota AnyDesk para conectarse a las máquinas de las víctimas y reinicia el sistema en modo seguro para evitar algunas medidas de seguridad. Además, subasta los datos robados en su sitio web y sigue el modelo de doble extorsión.
El ransomware Hive
El grupo de ransomware Hive es una amenaza cibernética que se descubrió por primera vez en junio de 2021. Hive está diseñado para ser utilizado por proveedores de ransomware como servicio (RaaS), para permitir a los ciberdelincuentes novatos lanzar ataques de ransomware contra proveedores de salud, energía, organizaciones benéficas y minoristas en todo el mundo. Hive encripta los archivos personales de las víctimas y les exige un pago para recuperarlos. Añade la extensión .hive a los archivos cifrados y les deja una nota de rescate con un enlace a un sitio web oculto.
Roba y publica los datos de las víctimas en un sitio público de filtraciones, siguiendo el modelo de doble extorsión. El Departamento de Justicia de Estados Unidos anunció que ha interrumpido la red de Hive, infiltrándose en sus sistemas informáticos, capturando sus claves de descifrado y ofreciéndolas a las víctimas en todo el mundo, evitando que estas tengan que pagar 130 millones de dólares en rescates exigidos.
HelloKitty
HelloKitty fue descubierto por primera vez en junio de 2021 y se hizo famoso por atacar a CD Projekt Red, una empresa de videojuegos. El grupo de ransomware HelloKitty ataca también usuarios de Linux, dirige a los servidores VMware ESXi y las máquinas virtuales que se ejecutan en ellos. HelloKitty utiliza un programa malicioso que encripta los archivos de las víctimas y les exige un pago para recuperarlos. Añade la extensión .hellokitty a los archivos cifrados y les deja una nota de rescate con un enlace a un sitio web oculto.
Usa la herramienta de administración remota AnyDesk para conectarse a las máquinas de las víctimas y reinicia el sistema en modo seguro para evitar algunas medidas de seguridad. Las notas de rescate las deja entre URL de Tor y direcciones de correo electrónico específicas de Protonmail.
LockBit 3.0
Antiguamente conocido como ransomware ABCD. Se dirige a empresas y organizaciones de todo el mundo. LockBit 3.0 es una versión mejorada del ransomware LockBit, que apareció por primera vez en 2019. LockBit 3.0 utiliza un servicio de ransomware como servicio (RaaS), que permite a los afiliados lanzar ataques personalizados y obtener una parte del rescate pagado por las víctimas. LockBit 3.0 busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red. Añade la extensión .lockbit a los archivos cifrados y les deja una nota de rescate con un enlace a un sitio web oculto.
LockBit 3.0 también roba y publica los datos de las víctimas en un sitio público de filtraciones, siguiendo el modelo de doble extorsión. El FBI, la CIA y el MS-ISAC han publicado una alerta con los indicadores de compromiso (IOC) asociados a los ataques de LockBit 3.0 y han recomendado a las organizaciones que tomen medidas preventivas para protegerse de esta amenaza.
Royal Ransomware
Es un software malicioso que se dirige a empresas y organizaciones de todo el mundo. Royal Ransomware cifra los archivos de las víctimas y les exige un pago para recuperarlos. Añade la extensión .royal o .royal_w a los archivos cifrados y les deja una nota de rescate con un enlace a un sitio web oculto. Royal Ransomware usa su propio programa de cifrado personalizado que le permite elegir un porcentaje específico de datos en un archivo para cifrarlo. Esto le ayuda a evadir la detección.
Usa la herramienta Nsudo para intentar deshabilitar el software antivirus en las máquinas de las víctimas. Se descubrió por primera vez en septiembre de 2022 y se cree que evolucionó a partir de versiones anteriores que usaban «Zeon» como cargador.
Cl0p
El ransomware Cl0p repite el patrón de dirigirse a empresas y organizaciones de todo el mundo. Cifra los archivos de las víctimas y les exige un pago para recuperarlos. Añade la extensión .cl0p a los archivos cifrados y les deja una nota de rescate con un enlace a un sitio web oculto. Es una variante de ransomware de la familia CryptoMix, que se cree que se desarrolló en Rusia. Funciona como un servicio de ransomware como servicio (RaaS), que permite a los afiliados lanzar ataques personalizados y obtener una parte del rescate pagado por las víctimas. Ha atacado a organizaciones de alto perfil en varios sectores, como Shell, Bombardier y la Universidad de Stanford. De igual modo, roba y publica los datos de las víctimas en un sitio público de filtraciones, siguiendo el modelo de doble extorsión.
Para prevenir ataques de este tipo, tenga un plan de emergencia y sea muy cuidadoso con los sitios que visita y los correos con los que comparte información. Para conocer más medidas preventivas y los métodos de los grupos de ransomware, le invitamos a leer la edición 11 de CyberWar Magazine centrada en el ransomware.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp