Durante el año pasado, surgieron muchos acuerdos de ‘franquicia’ y nuevas asociaciones en la industria de Ransomware-as-a-Service (RaaS).
Podría decirse que RaaS se ha convertido en una de las amenazas más prolíficas y peligrosas para la seguridad empresarial en la actualidad. Los ciberdelincuentes se han dado cuenta de que pueden obtener grandes ganancias al arrendar sus creaciones de ransomware, y especialmente si se usa contra grandes empresas que pueden pagar altos pagos de «rescate» para que sus datos sean descifrados después de una infección exitosa.
Además, la industria ha evolucionado en los últimos años para incluir también otras funciones: desarrolladores de malware, hablantes nativos de un idioma capaces de gestionar negociaciones y agentes de acceso inicial (IAB) que ofrecen acceso a la red a un sistema de destino, lo que acelera las operaciones de RaaS. .
Los sitios de fuga también son ahora comunes. Cuando un grupo de ransomware ataca a una víctima, puede robar información corporativa confidencial antes de cifrar los sistemas. Los ciberdelincuentes luego amenazarán con publicar estos datos a menos que se realice un pago.
El viernes, KELA publicó un informe sobre las tendencias y movimientos generales de los operadores de ransomware durante 2021. La firma de ciberseguridad dice que la cantidad de organizaciones importantes rastreadas como víctimas de ransomware aumentó de 1460 a 2860, y muchas aparecieron en sitios de fugas de ransomware y plataformas de negociación.
En total, el 65% de los sitios de fuga monitoreados el año pasado fueron manejados por nuevos actores en la escena. La mayoría de los objetivos se encuentran en países desarrollados, incluidos EE. UU., Canadá, Alemania, Australia, Japón y Francia.
La fabricación, las empresas industriales, los servicios profesionales, la tecnología, la ingeniería y el comercio minorista se encuentran entre los sectores que corren el mayor riesgo de ser atacados por los operadores de ransomware.
Sin embargo, una vez que se ha violado una empresa, esto no significa que el dolor de cabeza de la seguridad se limite a un solo incidente.
Como ejemplo, Party Rental apareció en el sitio de filtración de Avaddon en febrero de 2021, y Conti supuestamente reclamó a la misma víctima en septiembre. Ambos grupos compartieron datos pertenecientes a la empresa. Amey también apareció en el dominio de Mount Locker y luego en el de Clop.
Según KELA, aproximadamente 40 organizaciones comprometidas en 2020 fueron atacadas por un grupo de ransomware separado el año pasado, y «es posible que los grupos usaran el mismo vector de acceso inicial».
«Los operadores de los sitios de fuga de datos, a saber, Marketo y Snatch, con frecuencia reclamaron las mismas víctimas que muchos grupos de ransomware (Conti, Ragnar Locker y más), insinuando una posible colaboración», dice el informe.
Más de 1300 listas de acceso fueron publicadas en la clandestinidad por al menos 300 IAB durante 2021. LockBit, Avaddon, DarkSide, Conti y BlackByte se encuentran entre los operadores de ransomware de habla rusa que compran acceso con frecuencia.
Si bien algunas intrusiones pueden ser una coincidencia, parece que están surgiendo negocios de «franquicia». Trend Micro previamente conectó los puntos entre Astro Team y Xing Team, a los cuales se les permitió usar el ransomware Mount Locker bajo sus propias marcas.
El mismo malware estaba en uso, mientras que cada grupo de ciberdelincuentes mantenía sus propios blogs de nombre y vergüenza. Algunas de las víctimas fueron duplicadas en las revelaciones de Astro/Xing Team y Mount Locker. Además, se publicaron 14 organizaciones de víctimas en los blogs Quantum, Marketo y Snatch en 2021.
«La colaboración puede significar que los operadores de ransomware comparten datos robados con actores detrás de los sitios de fuga de datos en condiciones específicas», dicen los investigadores. «Para los operadores, puede significar ganancias adicionales si los datos se venden en un sitio de fuga de datos o simplemente más intimidante para la víctima (o futuras víctimas). Además de la colaboración, como entre grupos de ransomware, los actores detrás de estos sitios de fuga de datos pueden usar el mismo vector de entrada o atacar a la misma empresa a través de un acceso inicial diferente».
Algunos de los principales jugadores de ransomware desaparecieron en 2021, aunque pueden surgir nuevamente bajo diferentes marcas, incluidas BlackMatter y REvil. Han surgido nuevos grupos, incluidos Alphv, Hive y AvosLocker, para llenar el vacío.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
