Ransomware: esta pandilla se está volviendo mucho más rápida en el cifrado de redes

Una pandilla de ransomware altamente exitosa y agresiva se está volviendo aún más rápida en el cifrado de redes, ya que buscan extorsionar a tantas víctimas como sea posible.

Los investigadores de Mandiant examinaron los ataques de ransomware por parte de un grupo de ciberdelincuentes al que se refieren como FIN12, responsable de uno de cada cinco ataques investigados por la empresa de ciberseguridad, y descubrieron que ha habido una disminución significativa en la cantidad de tiempo entre la irrupción inicial en las redes y su encriptación con ransomware, más comúnmente Ryuk ransomware.

Según los datos publicados en el informe M-Trends 2022 de Mandiant, el tiempo de permanencia promedio de las campañas FIN12, la cantidad de tiempo entre que los piratas informáticos obtienen acceso inicial a la red y desencadenan el ataque de ransomware, se redujo de cinco días a menos de dos días.

VER: Seguridad en la nube en 2022: una guía comercial de herramientas esenciales y mejores prácticas

Una de las razones por las que el ciclo de vida de estos ataques se ha reducido tanto es porque las campañas de FIN12 no se centran en encontrar datos confidenciales y robarlos antes de desencadenar un ataque de ransomware.

Buscar y robar datos se ha convertido en una táctica común para muchos grupos de ransomware, quienes además de encriptar los datos, amenazan con publicarlos si no se paga un rescate. Es una técnica exitosa que muchas de las pandillas de ransomware de más alto perfil implementan para obligar a la víctima a pagar el rescate.

Pero a pesar de no adoptar esta técnica, FIN12 sigue siendo una operación de ransomware de gran éxito, que además de la velocidad de despliegue también parece seleccionar especialmente lo que perciben como objetivos fáciles de los que extorsionar.

Por ejemplo, se sabe que el grupo de ciberdelincuentes se dirige con frecuencia a hospitales y atención médica, organizaciones que necesitan desesperadamente redes en funcionamiento para brindar atención al paciente. Eso significa que las víctimas en el sector de la salud podrían estar más dispuestas a ceder en demandas de rescate que las víctimas en otras industrias.

El grupo también se dirige a organizaciones que obtienen altos ingresos, una táctica potencial que también se implementa porque los atacantes creen que tienen la mejor oportunidad de ganar grandes cantidades de dinero con los rescates.

«La falta de exfiltración de datos a gran escala en los incidentes FIN12 casi seguramente ha contribuido a la alta cadencia de operaciones del grupo», dice el informe de Mandiant.

Hay varios métodos que utiliza FIN12 para infiltrarse en las redes, incluido el acceso a través de infecciones anteriores de malware de puerta trasera, como TrickBot y BazarLoader. El malware se entrega a las máquinas, a veces a través de correo electrónico de phishing, y es común que los grupos de ransomware alquilen o aprovechen este acceso para encriptar la red.

Los investigadores también señalan que varias campañas de FIN12 han aprovechado nombres de usuario y contraseñas legítimos para iniciar sesión en entornos virtuales, incluido Microsoft Office 365. Es posible que estas credenciales se hayan comprado en foros clandestinos.

FIN12 tiende a centrar los ataques en las víctimas de América del Norte, pero Mandiant advierte que el grupo de ransomware podría tener como objetivo una gama más amplia de víctimas en todo el mundo.

«El gobierno de los Estados Unidos y la comunidad policial han aumentado significativamente la presión sobre los operadores de ransomware. Esto ha aumentado los riesgos de que los grupos de ransomware se dirijan a las organizaciones estadounidenses y, por extensión, hace que EMEA sea un objetivo más tentador», dijo Jamie Collier, asesor principal de inteligencia de amenazas de mandante

«Los ciberdelincuentes a menudo buscarán capitalizar los niveles mixtos de madurez de seguridad dentro de EMEA para centrarse en objetivos de alto valor y baja seguridad», agregó.

Algunos de los pasos que las organizaciones pueden tomar para ayudar a evitar ser víctimas de ataques de ransomware incluyen aplicar parches de seguridad de inmediato, de modo que los ciberdelincuentes no puedan explotar las vulnerabilidades conocidas para entregar malware y garantizar que se cambie cualquier contraseña que se sabe que ha sido violada.

Las organizaciones también deben proporcionar a los usuarios autenticación multifactor como una barrera adicional contra los ataques cibernéticos que intentan abusar de las credenciales filtradas.

MÁS SOBRE CIBERSEGURIDAD

Deja un comentario