Las principales tendencias incluyeron doble extorsión, ataques a la cadena de suministro, ransomware como servicio, cambio de marca de ransomware y ataques motivados geopolíticamente. Y, aunque el notorio grupo de ransomware Conti finalmente se retiró el año pasado, sus miembros solo han seguido adelante, con la formación y reforma de nuevos grupos delictivos.
LockBit
LockBit existe desde 2019 y funciona como ransomware como servicio (RaaS); y, según varias fuentes, es, con mucho, el grupo de ransomware más prolífico, ya que representa más de cuatro de cada diez de todas las víctimas de ransomware publicadas. Se cree que tiene su sede en Rusia.
La última variante, LockBit 3.0, se lanzó en junio de 2022, según Intel 471, y se enfoca principalmente en servicios profesionales y consultoría y manufactura, productos industriales y de consumo, junto con el sector inmobiliario.
Cuenta con nuevos cifradores basados en el código fuente de BlackMatter/DarkSide, junto con nuevas estrategias de extorsión.
Y mientras tanto, en un movimiento extraordinario, LockBit ha lanzado su propio programa de recompensas, ofreciendo hasta U$S 1 millón por el descubrimiento de vulnerabilidades en su malware, sitios que avergüenzan a las víctimas, la red TOR o su servicio de mensajería.
Vice Society
Al igual que con otros actores de amenazas, mantienen un sitio de fuga de datos, que utilizan para publicar datos extraídos de víctimas que eligen no pagar sus demandas de extorsión.
Black Basta
Black Basta hizo su primera aparición en la marzo de 2022 y afectó al menos a 20 empresas en sus primeras dos semanas. Se cree que el grupo está formado por miembros de las ahora desaparecidas pandillas Conti y REvil.
Actualmente participa en una campaña que usa el malware QakBot, un troyano bancario que se usa para robar los datos financieros de las víctimas, incluida la información del navegador, las pulsaciones de teclas y las credenciales.
Hive
Hive, el tercer grupo de ransomware más activo de 2022, se centra en el sector industrial, junto con organizaciones de salud, energía y agricultura. Según el FBI, ha afectado a 1.300 empresas en todo el mundo, particularmente en el sector de la salud, y ha generado alrededor de 100 millones de dólares en pagos de rescate.
Se cree que Hive, otro equipo muy profesional, colabora con otros grupos de ransomware y tiene sus propios departamentos de servicio al cliente, mesa de ayuda y ventas. También incurre en la llamada triple extorsión, el robo de datos, la amenaza de filtrarlos y el chantaje a las víctimas.
Uno de los paquetes de ransomware más sofisticados y flexibles, basado en el lenguaje de programación Rust, ALPHV/BlackCat existe desde hace aproximadamente un año y medio. Se cree que el grupo está formado por ex miembros de la pandilla REvil y está conectado a los grupos BlackMatter y DarkSide.
Otro operador de RaaS, su táctica principal es explotar fallas de seguridad conocidas o credenciales de cuentas vulnerables y luego lanzar ataques DDoS para presionar a la víctima para que pague. Expone los datos robados a través de su propio motor de búsqueda.
Los objetivos han incluido organizaciones de infraestructura crítica, incluidos aeropuertos, operadores de oleoductos y refinerías de petróleo, así como el Departamento de Defensa de EE. UU.
Las demandas de rescate ascienden a millones e, incluso cuando la víctima paga, el grupo no siempre entrega las herramientas de descifrado prometidas.
BianLian
Otro «jugador» relativamente nuevo, BianLian, se ha dirigido a organizaciones en Australia, América del Norte y el Reino Unido. Rápidamente está poniendo en línea nuevos servidores de comando y control (C&C), lo que indica, dice la firma de seguridad Redacted, que puede estar planeando un gran aumento en la actividad.
Como muchos otros programas de ransomware, BianLian se basa en el lenguaje Go, lo que le otorga una gran flexibilidad. El grupo parece estar formado por jugadores relativamente inexpertos, con signos de que son nuevos en los aspectos comerciales prácticos del ransomware y la logística asociada. La amplia gama de objetivos del grupo indica que está motivado por el dinero más que por consideraciones políticas.
Otros grupos nuevos de ransomware
El mundo del ransomware está en constante cambio, y varios grupos han cambiado de nombre: DarkSide ahora es BlackMatter; DoppelPaymer se ha convertido en Grief y, Rook se ha rebautizado como Pandora.
Mientras tanto, los nuevos grupos que surgieron durante el último año incluyen DarkAngels, Mindware, Cheers, y grupos tales como RansomHouse, Medusa, D0nut, Phobos/Makop (MKP) actuando activamente en América Latina.
Fuentes: TechRepublic
Vía:
https://blog.segu-info.com.ar/2023/04/mayores-grupos-de-ransomware-activos.html