Inicia noviembre de 2021 con malas noticias: nuevos ataques de los grupos cibercriminales de ransomware más activos están cobrando nuevas víctimas. En los primeros días de este mes (1 a 5 de noviembre 2021), Conti, LV Blog, LockBit 2.0, CLOP, AvosLocker y Grief, han sumado 28 nuevas empresas vulneradas. Incluso, vulnerada por LockBit 2.0, aparentemente se encuentran los datos de la empresa mexicana fabricante de llantas, Tornel.
A continuación más detalle de cada uno de estos grupos delictivos:
- Conti ransomware es una variante de Ransomware-as-a-Service (RaaS). La variante de ransomware Conti se detectó por primera vez en diciembre de 2019, y su prominencia aumentó en el verano de 2020. Vinculados a los desarrolladores de Ryuk, los operadores de Conti suelen dirigirse a las redes corporativas. Conti ransomware se propaga lateralmente hasta que adquiere las credenciales administrativas del dominio. Conti puede cifrar archivos rápidamente gracias a su función de propagación automática. El ransomware Conti es comúnmente distribuido por el troyano TrickBot o Emotet.
- El ransomware LV (LV Blog) que ha estado circulando desde finales de 2020 parece no ser más que una versión reutilizada del ransomware Revil, distribuida por una banda separada. Un análisis del binario del ransomware LV reveló que es una versión modificada del binario beta REvil 2.03. LV parece haber usado un editor hexadecimal para modificar este binario y su archivo de configuración y eliminar ciertas características del mismo. Los actores de amenazas también reemplazaron la configuración de REvil con la suya propia.
- LockBit es un ataque de ransomware en una larga línea de ciberataques de extorsión. Antes conocido como el ransomware «ABCD», se ha convertido en una amenaza peculiar en el ámbito de estas herramientas de extorsión. LockBit se centra más en las empresas y organizaciones gubernamentales y no tanto en los particulares. Los primeros ataques con LockBit comenzaron en septiembre de 2019, y fue entonces que recibió el apodo «virus .abcd». El apodo hacía referencia la extensión del archivo utilizada al cifrar los archivos de la víctima. Entre los objetivos más importantes figuran organizaciones de los Estados Unidos, China, India, Indonesia, Ucrania, Francia, Reino Unido y Alemania, entre otros.
- La banda de ransomware CLOP ha estado operando desde marzo de 2019, cuando comenzó a apuntar a la empresa utilizando una variante del ransomware CryptoMix. CLOP gana un punto de apoyo inicial en una computadora corporativa para realizar sus ataques y luego se propaga lentamente por la red mientras roba datos y documentos. Cuando cosechan todo lo que tiene valor, implementan el ransomware en la red para cifrar sus dispositivos.
- AvosLocker es un ransomware relativamente nuevo, que se observó a finales de junio y principios de julio. Sus autores comenzaron a buscar afiliados a través de varios foros clandestinos. Anunciaron un reclutamiento de “pentesters con experiencia en la red de Active Directory” y “corredores de acceso”, lo que sugiere que quieren cooperar con personas que tienen acceso remoto a las infraestructuras vulneradas.
- Grief Ransomware es un grupo que opera un esquema RaaS (Ransomware-as-a-Service). Es un grupo muy agresivo porque en sus primeros meses de actividad, los ciberdelincuentes lograron acumular más de 20 víctimas. Al principio, se consideró que el ransomware llamado Grief era una nueva operación, pero la banda delictiva tiene similitudes con la agrupación DoppelPaymer, quienes se considera se han basado, a su vez, en el ransomware BitPaymer (que surgió por primera vez en 2017) debido a las conexiones en su código, notas de rescate y portales de pago.
De acuerdo con datos de la unidad de investigación de SILIKN, se presentan las empresas atacadas en estos primeros días de mes:
1 de noviembre
- Conti / “Power Plumbing”
- LV Blog / “Daumar”
- LV Blog / “Folio.Com.Au”
- Conti / “Finite Recruitment”
- LockBit 2.0 / “gvalue.com”
- LockBit 2.0 / “promo.parker.com”
- LockBit 2.0 / “comune.gonzaga.mn.it”
- LockBit 2.0 / “www.radium.com.tw»
- LockBit 2.0 / “morganskenderian.com”
- LockBit 2.0 / “bdtaid.com”
2 de noviembre
- LockBit 2.0 / “immodelaet.be”
- AvosLocker / “Blue Harbor Resort”
- Conti / “Nakisa”
- Conti / “Southland Holdings”
- LockBit 2.0 / “dtstechnical.ca”
- LockBit 2.0 / “wpdn.net”
- LockBit 2.0 / “gvalue.com”
3 de noviembre
- LockBit 2.0 / “tornel.com.mx”
- Conti / “Graff Diamonds”
- Conti / “Socage.it”
- Conti / “Benefitexpress”
- Grief / “Midwest Packaging Solutions, Inc.”
- Grief / “The Npd Group Inc”
4 de noviembre
- Conti / “Enviroplas”
- CLOP / “Enesco, LLC.”
- LockBit 2.0 / “groweeisen.com”
5 de noviembre
- Conti / “ARM CHINA”
- «besttaxfiler.com»
- «rttax.com»
- «interfor.com»
- «mcmanislaw.com»
- «owenscarolina.com»
- «trueblueenvironmental.com»
Nota relacionada: ¿Quién es mi enemigo? Algunos de los grupos cibercriminales más peligrosos de la actualidad
Alerta por el incremento de los ataques de ransomware
Los ataques de ransomware van en aumento y se dirigen tanto a gobiernos como a empresas. Si bien el ransomware ha existido durante décadas, la pandemia del coronavirus, la creciente dependencia de la infraestructura digital y una serie de cambios geopolíticos han abierto muchas oportunidades para los atacantes.
De igual forma, la cantidad de rescate también ha ido en aumento, y los atacantes se han fortalecido por los éxitos de los últimos meses. De acuerdo con un análisis de la unidad de investigación de SILIKN, el costo después de un ataque de ransomware se ha duplicado durante el último año–y el costo total de una situación de rescate es ahora igual a 10 veces el rescate en sí–. El pago promedio de ransomware en 2021 se ha estimado en $600,000 dólares.
Una de las razones de este aumento significativo en los ataques de ransomware es la entrada de muchos nuevos actores en escena mediante el uso del ransomware como servicio (ransomware-as-as-service, RaaS). En poco tiempo, el RaaS se ha convertido en una industria en sí misma. Esto ha reducido significativamente los niveles de entrada, lo que permite que los delincuentes con poco conocimiento de cómo construir un ataque se beneficien por sí solos del conocimiento de los grandes grupos de ransomware a cambio de una parte de las ganancias.
A su vez, este desarrollo plantea nuevos desafíos para las empresas y organizaciones que necesitan aprender urgentemente cómo proteger sus sistemas y datos de las vulneraciones.
El surgimiento del RaaS
RaaS es un fenómeno bastante reciente, pero ya ha ganado popularidad y atención. La primera instancia conocida de RaaS fue el ransomware Cerber de 2017. Ese año, Cerber representó hasta el 90% de todos los ataques de ransomware en Windows en todo el mundo.
Una de las razones de su popularidad y éxito fue que sus desarrolladores y operadores comenzaron a rentar el ransomware a atacantes afiliados a cambio de una parte de las ganancias obtenidas del rescate. Esto permitió a los ciberdelincuentes, con poca o ninguna experiencia técnica, lanzar fácilmente ataques de ransomware. Si bien Cerber desapareció en gran medida a fines de 2017, se le atribuye el origen del modelo que hoy llamamos RaaS.
En este sentido, GandCrab consolidó aún más la rentabilidad del RaaS en 2019, pero su popularidad duró poco, ya que cerró repentinamente a mitad de ese año, con la noticia de que sus desarrolladores se retiraban porque habían estado ganando $2.5 millones de dólares por semana. Supuestamente, esta afirmación hecha por el grupo incentivó aún más a las personas y grupos que buscaban enriquecerse rápidamente para ingresar al mercado del ransomware.
Como resultado, en 2021 todos los grandes ataques de ransomware como DarkSide, REvil, Avaddon, Dharma y LockBit estuvieron disponibles como RaaS.
El avance del RaaS
Gracias al RaaS, para cualquiera que esté dispuesto a correr el riesgo, los ataques de ransomware ahora son más accesibles y fáciles de ejecutar. Si bien eso es parte de la razón por la que el modelo está creciendo, hay otros factores importantes que han contribuido, como:
- Mayor disponibilidad y dependencia de la infraestructura digital a nivel mundial. Las empresas confían cada vez más en infraestructura digital y servicios administrados como la nube. El uso de la nube se ha disparado durante la última década, proporcionando a los cibercriminales objetivos a gran escala que pueden ser atacados desde cualquier parte del mundo sin temor a las consecuencias. Al mismo tiempo, estos entornos digitales difícilmente están diseñados para resistir todas las amenazas que se les dirigen.
- Otro factor son las criptomonedas que permiten que los atacantes permanezcan ocultos. Con el crecimiento de las criptomonedas, la extorsión se ha vuelto significativamente más fácil. A pesar de toda la libertad y las mejoras tecnológicas que ofrecen, las criptomonedas desafortunadamente también les han dado a los ciberdelincuentes un método para cobrar un rescate que los expone mínimamente. Y si bien estas monedas pueden ser volátiles, la naturaleza anónima de las transferencias de Bitcoin ha eliminado el peligro asociado con la cobranza de un rescate. Con la disminución del riesgo, participar en un esquema RaaS se ha vuelto mucho más atractivo.
- RaaS se está volviendo más estructurado y eficiente. Los grupos y esquemas de RaaS están comenzando a operar de formas similares a las corporaciones. Desde roles diversificados hasta actividades subcontratadas, el ecosistema RaaS se está volviendo más organizado y, con eso, más eficiente. Ahora, cada etapa del ataque puede tener personas que actúen como los responsables o como gerentes y están apareciendo roles nuevos, como los de negociadores. Esto ofrece más oportunidades de atraer a personas con diferentes conjuntos de habilidades.
Por Víctor Ruiz, fundador de SILIKN.