Gamers ahora disponen en Latam de SSD más fría
El declive de los grandes grupos de ransomware como Conti y REvil ha dado lugar a bandas más pequeñas, lo que representa un desafío para la inteligencia de amenazas.
Por Luciano Constantino | Original de IDGN
El ecosistema de ransomware ha cambiado significativamente en 2022, con los atacantes pasando de grandes grupos que dominaban el panorama a operaciones más pequeñas de ransomware como servicio (RaaS) en busca de más flexibilidad y atrayendo menos la atención de las fuerzas del orden.
Esta democratización del ransomware es una mala noticia para las organizaciones porque también trajo una diversificación de:
- Tácticas
- Técnicas y procedimientos (TTP)
- Más indicadores de compromiso (IOC) para rastrear
- Y potencialmente más obstáculos para superar al intentar negociar o pagar rescates
“Es probable que podamos datar los cambios acelerados del panorama al menos a mediados de 2021, cuando el ataque de ransomware Colonial Pipeline DarkSide y el posterior derribo de REvil por parte de las fuerzas del orden llevaron a la dispersión de varias asociaciones de ransomware”, dijeron investigadores del grupo Talos de Cisco en su informe anual. informe.
El informe continúa con un avance rápido hasta este año, cuando la escena del ransomware parece tan dinámica como siempre:
- Con varios grupos adaptándose a los crecientes esfuerzos disruptivos de las fuerzas del orden y la industria privada
- Las luchas internas y las amenazas internas
- Un mercado competitivo en el que los desarrolladores y operadores cambian su afiliación continuamente
- En busca de la operación de ransomware más lucrativa
Los grandes grupos de ransomware atraen demasiada atención
Desde 2019, el panorama del ransomware ha estado dominado por operaciones de ransomware grandes y profesionalizadas que aparecían constantemente en los titulares de las noticias e, incluso, buscaban la atención de los medios para ganar legitimidad con las víctimas potenciales.
Hemos visto grupos de ransomware con portavoces que ofrecieron entrevistas a periodistas o emitieron “comunicados de prensa” en Twitter y sus sitios web de fuga de datos en respuesta a grandes infracciones.
El ataque DarkSide contra Colonial Pipeline que provocó una importante interrupción del suministro de combustible a lo largo de la costa este de los EE. UU. en 2021 destacó el riesgo que los ataques de ransomware pueden tener contra la infraestructura crítica y condujo a mayores esfuerzos para combatir esta amenaza en los niveles más altos del gobierno.
Esta mayor atención por parte de las fuerzas del orden público hizo que los propietarios de los foros clandestinos de ciberdelincuencia reconsideraran su relación con los grupos de ransomware y algunos prohibieron la publicidad de tales amenazas.
DarkSide cesó sus operaciones poco después y fue seguido más adelante en el año por REvil, también conocido como Sodinokibi, cuyos creadores fueron acusados y uno incluso fue arrestado. REvil fue uno de los grupos de ransomware más exitosos desde 2019.
La invasión rusa de Ucrania en febrero de 2022 puso rápidamente a prueba la relación entre muchos grupos de ransomware que tenían miembros y afiliados tanto en Rusia como en Ucrania u otros países de la antigua URSS.
Algunos grupos, como Conti, se apresuraron a tomar partido en la guerra y amenazaron con atacar la infraestructura occidental en apoyo de Rusia.
Esta fue una desviación del enfoque apolítico comercial habitual en el que las pandillas de ransomware habían llevado a cabo sus operaciones y suscitado críticas de otros grupos competidores.
A esto también le siguió una filtración de comunicaciones internas que expuso muchos de los secretos operativos de Conti y causó inquietud entre sus afiliados.
Luego de un gran ataque contra el gobierno costarricense, el Departamento de Estado de EE. UU. ofreció una recompensa de US$10 millones por información relacionada con la identidad o ubicación de los líderes de Conti lo que, probablemente, contribuyó a la decisión del grupo de cerrar sus operaciones en mayo.
La desaparición de Conti condujo a una caída en la actividad de ransomware durante un par de meses, pero no duró mucho ya que el vacío fue llenado rápidamente por otros grupos, algunos de ellos recién creados y sospechosos de ser la creación de ex miembros de Conti, REvil y otros grupos que cesaron sus operaciones en los últimos dos años.
Vice Society apunta al sector educativo
Royal no es el único ejemplo de un exitoso grupo de ransomware que logró el éxito al reutilizar programas de ransomware desarrollados por otros.
Uno de esos grupos llamado Vice Society es el cuarto más grande según la cantidad de víctimas enumeradas en su sitio de fuga de datos según Cisco Talos.
Este grupo se dirige principalmente a organizaciones del sector de la educación y se basa en bifurcaciones de familias de ransomware preexistentes como HelloKitty y Zeppelin.
Más grupos de ransomware son un desafío para la inteligencia de amenazas
Los investigadores de Cisco Talos han señalado que el final de los grandes monopolios de ransomware ha presentado desafíos para los analistas de inteligencia de amenazas.
“Al menos ocho grupos representan el 75% de las publicaciones en sitios de fuga de datos que Talos monitorea activamente. La aparición de nuevos grupos dificulta la atribución ya que los adversarios trabajan en múltiples grupos RaaS”, señalan los investigadores.
Algunos grupos, como LockBit, han comenzado a introducir métodos de extorsión adicionales como ataques DDoS para obligar a sus víctimas a pagar rescates.
Es probable que esta tendencia continúe y se espera que los grupos de ransomware presenten en 2023 nuevas tácticas de extorsión para monetizar los ataques a las víctimas donde se detecten antes de implementar la carga útil final del ransomware.
La mitad de los compromisos de respuesta a incidentes relacionados con ransomware de Cisco Talos han estado en la etapa previa, lo que demuestra que las empresas están mejorando en la detección de TTP asociados con actividades previas al ransomware.
