Los grupos de ransomware continúan desarrollando tácticas y técnicas para implementar malware de cifrado de archivos en sistemas comprometidos, a pesar de las acciones disruptivas de las bandas de ciberdelincuentes para evitar que acosen a otras empresas.
«Ya sea para hacer cumplir la ley, peleas entre grupos o personas que abandonan las variantes por completo, RaaS [ransomware-as-a-service] Los grupos que actualmente dominan el ecosistema son muy diferentes a los de hace unos meses «, dijeron los investigadores de Intel 471 en un informe publicado este mes. «No obstante, a pesar del cambio de variantes, los incidentes de ransomware en su conjunto siguen aumentando».
Las extensas operaciones de aplicación de la ley por parte de agencias gubernamentales en los últimos meses han traído cambios rápidos en el entorno RaaS y han cambiado la mesa contra los sindicatos de ransomware como Avaddon, BlackMatter, Cl0p, DarkSide, Egregor y REvil, lo que obligó a los actores a reducir la velocidad o cerrar. su negocio completamente.
Pero justo cuando estas variantes se desvanecen en el olvido, se han agregado otros grupos prometedores para llenar el vacío. El hallazgo de Intel 471 reveló un total de 612 ataques de ransomware entre julio y septiembre de 2021, que se pueden atribuir a 35 variantes diferentes de ransomware.
Aproximadamente el 60% de las infecciones observadas se asociaron con solo cuatro variantes, lideradas por LockBit 2.0 (33%), Conti (15.2%), BlackMatter (6.9%) y Hive (6%), y afectaron principalmente a la producción, los consumidores y la industria. productos, servicios profesionales y consultoría y la industria inmobiliaria.
Avos Locker es uno de los muchos cárteles de este tipo que no solo han sido testigos de un aumento en los ataques, sino que también han adoptado nuevas tácticas para implementar sus planes motivados financieramente, el principal es la capacidad de deshabilitar los productos de seguridad de terminales en los sistemas de destino e implementar el Modo seguro de Windows. para ejecutar ransomware. La herramienta de administración remota AnyDesk también está instalada para mantener el acceso a la computadora cuando se ejecuta en modo seguro.
«La razón es que muchos, si no la mayoría, de los productos de seguridad para endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y software de terceros y puede hacer que las computadoras protegidas no sean seguras», dijo el director. SophosLabs dijo el investigador de seguridad Andrew Brandt. «Las técnicas implementadas por Avos Locker son simples pero inteligentes, y los atacantes aseguran que el ransomware tenga la mejor oportunidad de ejecutarse en modo seguro y permite a los atacantes retener el acceso remoto a las computadoras durante todo el ataque».
El programa RaaS de Hive fue calificado de «agresivo» por sus tácticas de coerción para obligar a las organizaciones de víctimas a pagar un rescate, y Group-IB vinculó esa presión con los ataques contra 355 empresas el 16 de octubre desde que apareció en el país a fines de junio de 2021. Mientras tanto, Russian El grupo de ransomware de idiomas Everest está llevando sus tácticas de extorsión al siguiente nivel al amenazar con vender el acceso a sistemas específicos si no se cumplen sus requisitos, dijo el Grupo NCC.
«Si bien la venta de ransomware como servicio ha aumentado en popularidad durante el año pasado, es raro que un grupo renuncie a las solicitudes de rescate y ofrezca acceso a la infraestructura de TI, pero en 2022 podemos encontrarnos con ataques falsificados. y más allá ”, dijo la empresa británica de ciberseguridad.
Además, una familia relativamente nueva de ransomware llamada Pysa (también conocida como Mespinoza) ha derribado a Conti como uno de los principales grupos de amenazas de ransomware en noviembre junto con LockBit 2.0. El ransomware ha experimentado un aumento del 50% en el número de empresas objetivo y un aumento del 400% en los ataques a los sistemas del sector gubernamental en comparación con octubre.
«Si bien las agencias de aplicación de la ley de todo el mundo se han vuelto más agresivas en sus esfuerzos por arrestar a quienes están detrás de los ataques, los desarrolladores aún están terminando fácilmente con las variantes populares, retirándose y regresando con malware perfeccionado utilizado por ellos mismos y sus afiliados», Intel. 471 investigadores lo dijeron. «Mientras los desarrolladores puedan permanecer en países donde tienen un puerto seguro, los ataques continuarán, aunque con diferentes variantes».
