Los investigadores de seguridad cibernética cerraron cuatro nuevos grupos de ransomware el martes que podrían representar una seria amenaza para las empresas y la infraestructura crítica, ya que el efecto dominó del reciente aumento en los incidentes de ransomware muestra que los atacantes se están volviendo más sofisticados y rentables. cobrar los pagos de las víctimas.
«Si bien es probable que la crisis del ransomware empeore antes de mejorar, la cantidad de grupos de ciberdelincuentes que causan el mayor daño cambia constantemente», dijo el equipo de amenazas de 42 miembros de Palo Palo Networks en un informe compartido con The Hacker News.
«Los grupos a veces se callan cuando se vuelven lo suficientemente famosos como para convertirse en una prioridad para las fuerzas del orden. Otros reinician sus operaciones para ser más lucrativos al revisar sus tácticas, técnicas y procedimientos, actualizar el software y lanzar campañas de marketing para reclutar nuevos afiliados».
Este desarrollo se produce a medida que los ataques de ransomware se vuelven cada vez más frecuentes, creciendo en tamaño y gravedad, y evolucionando de un chantaje financiero a un problema urgente de seguridad y protección nacional que amenaza a escuelas, hospitales, empresas y gobiernos de todo el mundo, lo que alienta a las autoridades internacionales a formular una serie de medidas contra los operadores de ransomware y el ecosistema más amplio de infraestructura de TI y lavado de dinero, que se está utilizando indebidamente para drenar fondos.
El nuevo participante principal es AvosLocker, un grupo de ransomware como servicio (RaaS) que se lanzó a fines de junio a través de «comunicados de prensa» marcados con el logotipo de Blue Beetle para reclutar nuevos afiliados. El cártel, que también opera sitios de fuga de datos y extorsión, supuestamente violó seis organizaciones en los Estados Unidos, el Reino Unido, los Emiratos Árabes Unidos, Bélgica, España y el Líbano, con demandas de rescate que oscilan entre $ 50,000 y $ 75,000.
Por el contrario, Hive, aunque abrió una tienda en el mismo mes que AvosLocker, ya ha afectado a varios proveedores de atención médica y organizaciones medianas, incluida una aerolínea europea y tres entidades con sede en EE. UU., incluidas víctimas en Australia, China, India, Países Bajos, Noruega. , Perú, Portugal, Suiza, Tailandia y Reino Unido
En la naturaleza, también se encuentra una variante de Linux del ransomware HelloKitty, que asigna servidores Linux con el hipervisor ESXi VMware. «Las variantes observadas han afectado a cinco organizaciones en Italia, Australia, Alemania, los Países Bajos y los Estados Unidos», dijeron los investigadores de la Unidad 42 Doel Santos y Ruchna Nigam. «La demanda de rescate más alta observada de este grupo fue de $ 10 millones, pero en el momento de escribir este artículo, los actores de amenazas recibieron solo tres transacciones por un total de alrededor de $ 1,48 millones».
Por último, se agregó a la lista LockBit 2.0, un grupo establecido de ransomware que reapareció en junio con la versión 2.0 de su programa de afiliados elogiando sus «beneficios incomparables» de «velocidad de cifrado y función de autopropagación». Los desarrolladores no solo afirman ser «el software de cifrado más rápido del mundo», sino que el grupo ofrece a los ladrones llamados StealBit, que permite a los atacantes descargar los datos de las víctimas.
Desde su debut en junio de 2021, LockBit 2.0 ha amenazado a 52 organizaciones en las áreas de contabilidad, automotriz, consultoría, ingeniería, finanzas, alta tecnología, hospitalidad, seguros, aplicación de la ley, servicios legales, manufactura, energía sin fines de lucro, comercio minorista, transporte y logística. industrias que incluyen Argentina, Australia, Austria, Bélgica, Brasil, Alemania, Italia, Malasia, México, Rumania, Suiza, el Reino Unido y los Estados Unidos
En todo caso, la aparición de nuevas variantes de ransomware muestra que los ciberdelincuentes están duplicando los ataques de ransomware, lo que subraya la naturaleza extremadamente lucrativa del delito.
«A medida que los principales grupos de ransomware, como REvil y DarkSide, rechacen o cambien su marca para evitar el ferviente interés en la aplicación de la ley y la atención de los medios, surgirán nuevos grupos para reemplazar a aquellos que ya no atacan activamente a las víctimas», dijeron los científicos. «Si bien LockBit y HelloKitty estaban activos anteriormente, su desarrollo reciente los convierte en un buen ejemplo de cómo los grupos antiguos pueden reaparecer y seguir siendo amenazas permanentes».
