Una investigación identificó cuatro grupos emergentes de ransomware que afectan a las organizaciones, con muestras de que serán amenazas mayores.
Por Michael Hill
Original de IDGNS
Una nueva investigación de la Unidad 42 de Palo Alto Networks ha identificado cuatro grupos emergentes de ransomware que tienen el potencial de convertirse en problemas mayores en el futuro. Estos son:
- AvosLocker
- Hive Ransomware
- HelloKitty
- LockBit 2.0
El último informe de la empresa de seguridad Ransomware Groups to Watch : Amenazas emergentes destacó que:
“Con los principales grupos de ransomware como REvil y Darkside ocultos o cambiando de marca para evadir el calor de las fuerzas del orden y la atención de los medios, surgirán nuevos grupos para reemplazar a los que ya no se dirigen activamente a las víctimas”.
Doel Santos, analista de inteligencia de amenazas, y Ruchna Nigam, investigadora principal de amenazas, detallaron dentro de la investigación los comportamientos de estos cuatro grupos de ransomware.
1. AvosLocker
Observado por primera vez en julio de 2021, AvosLocker opera dentro del modelo de ransomware-as-a-service (RaaS) y está controlado por Avos, que anuncia sus servicios en el foro de discusión de la web oscura Dread.
Su nota de rescate incluye información y una identificación que se utiliza para marcar a las víctimas, indicando a los infectados que visiten el sitio de AvosLocker Tor para la recuperación y restauración de sus datos.
Según la investigación, las solicitudes de rescate han estado entre US$ 50.000 y US$ 75.000 en Monero, con infecciones identificadas en siete organizaciones en todo el mundo.
2. Hive ransomware
Según el informe, comenzaron sus operaciones en junio de 2021, se ha detectado que Hive Ransomware apunta a organizaciones de atención médica y otras empresas mal equipadas para defenderse de los ciberataques.
El grupo publicó a la primera víctima en su sitio de filtraciones Hive Leaks, antes de publicar detalles de otras 28 víctimas.
“Cuando se ejecuta este ransomware, suelta dos scripts por lotes. El primer script, hive.bat, intenta borrarse a sí mismo y el segundo script se encarga de borrar las instantáneas del sistema (shadow.bat). El ransomware Hive agrega la extensión [caracteres aleatorios] .hive a los archivos cifrados y suelta una nota de rescate titulada HOW_TO_DECRYPT.txt que contiene instrucciones y pautas para evitar la pérdida de datos”, escribieron los investigadores.
Las víctimas son dirigidas a través de la nota de rescate a una función de chat con los atacantes para discutir el descifrado.
Los investigadores no pueden especificar el método de entrega exacto del ransomware, pero sugieren que los medios tradicionales como la fuerza bruta de credenciales o el spear-phishing podrían estar en juego.
3. HelloKitty: Edición Linux
La familia HelloKitty surgió en 2020, dirigida principalmente a los sistemas Windows.
Su nombre proviene de su uso de HelloKittyMutex.
En 2021, Palo Alto detectó una muestra de Linux (ELF) con el nombre funny_linux.elf que contenía una nota de rescate con verborrea que coincidía directamente con las notas de rescate vistas en muestras posteriores de HelloKitty para Windows.
Se descubrieron más muestras y, en marzo, comenzaron a apuntar a ESXi, un objetivo de elección para las variantes recientes de ransomware de Linux.
“Curiosamente, el modo preferido de comunicación compartido por los atacantes en las notas de rescate en las diferentes muestras es una mezcla entre las URL de Tor y las direcciones de correo electrónico de Protonmail específicas de la víctima. Esto podría indicar campañas diferentes o incluso actores de amenazas completamente diferentes que hacen uso de la misma base de código de malware”, escribieron los investigadores.
Se han detectado demandas de rescate de hasta US$ 10 millones en Monero, aunque los atacantes también están dispuestos a aceptar pagos de Bitcoin.
El ransomware cifra los archivos mediante el algoritmo de firma digital de curva elíptica (ECDSA).
4. LockBit 2.0
LockBit 2.0, anteriormente conocido como ransomware ABCD, es otro grupo que opera como RaaS.
Aunque en funcionamiento desde 2019, Palo Alto ha descubierto una evolución reciente en los métodos del grupo, y los actores afirman que su variante actual es el software de cifrado más rápido en funcionamiento.
Desde junio, el grupo ha comprometido a 52 organizaciones globales.
“Todas las publicaciones de los actores de la amenaza en su sitio de filtración incluyen una cuenta regresiva hasta que la información confidencial se divulgue al público, lo que crea una presión adicional sobre la víctima”, escriben los investigadores.
Tras la ejecución, LockBit 2.0 comienza el cifrado de archivos y agrega la extensión .lockbit.
Cuando se completa el cifrado, una nota de rescate titulada Restore-My-Files.txt notifica a las víctimas del compromiso y ofrece consejos sobre los pasos para el descifrado.