El ecosistema del 'ransomware' se diversifica de cara a 2023
El declive de grandes grupos de ransomware como Conti y REvil ha dado lugar a bandas más pequeñas, lo que supone un reto para la inteligencia sobre amenazas.
El ecosistema del ransomware ha cambiado significativamente en 2022: los atacantes han pasado de los grandes grupos que dominaban el panorama a operaciones más pequeñas de ransomware como servicio (RaaS) en busca de más flexibilidad y de llamar menos la atención de las fuerzas de seguridad. Esta democratización del ransomware es una mala noticia para las organizaciones, ya que también trajo consigo una diversificación de tácticas, técnicas y procedimientos (TTP), más indicadores de compromiso (IOC) que rastrear y potencialmente más obstáculos que sortear cuando se trata de negociar o pagar rescates.
"Podemos datar la aceleración de los cambios en el panorama al menos a mediados de 2021, cuando el ataque de ransomware de DarkSide a Colonial Pipeline y el posterior desmantelamiento de REvil por parte de las fuerzas de seguridad provocaron la dispersión de varias asociaciones de ransomware", señalan los investigadores del grupo Talos de Cisco en su informe anual. "Avancemos rápidamente hasta este año, en el que la escena del ransomware parece tan dinámica como siempre, con varios grupos adaptándose a los crecientes esfuerzos disruptivos de las fuerzas de seguridad y la industria privada, luchas y amenazas internas, y un mercado competitivo que tiene a los desarrolladores y operadores cambiando su afiliación continuamente en busca de la operación de ransomware más lucrativa".
Los grandes grupos de ransomware atraen demasiada atención
Desde 2019, el panorama del ransomware ha estado dominado por grandes y profesionalizadas operaciones que constantemente aparecían en los titulares de las noticias e incluso buscaban la atención de los medios para ganar legitimidad con las víctimas potenciales. Hemos visto grupos de ransomware con portavoces que ofrecían entrevistas a periodistas o emitían "comunicados de prensa" en Twitter y en sus sitios web de filtración de datos en respuesta a grandes brechas.
El ataque de DarkSide contra Colonial Pipeline, que provocó una importante interrupción del suministro de combustible a lo largo de la costa este de Estados Unidos en 2021, puso de relieve el riesgo que pueden tener los ataques de ransomware contra infraestructuras críticas y llevó a aumentar los esfuerzos para combatir esta amenaza en los niveles más altos de la administración. Esta mayor atención por parte de las fuerzas de seguridad hizo que los propietarios de foros clandestinos de ciberdelincuencia reconsideraran su relación con los grupos de ransomware, y algunos foros prohibieron la publicidad de este tipo de amenazas. DarkSide cesó sus operaciones poco después y, más tarde ese mismo año, le siguió REvil, también conocido como Sodinokibi, cuyos creadores fueron acusados e incluso uno de ellos fue detenido. REvil fue uno de los grupos de ransomware más exitosos desde 2019.
La invasión rusa de Ucrania en febrero de 2022 tensó rápidamente las relaciones entre muchos grupos de ransomware que tenían miembros y afiliados tanto en Rusia como en Ucrania u otros países de la antigua URSS. Algunos grupos, como Conti, se apresuraron a tomar partido en la guerra, amenazando con atacar infraestructuras occidentales en apoyo de Rusia. Esto supuso una desviación del enfoque apolítico y empresarial habitual con el que las bandas de ransomware habían dirigido sus operaciones y suscitó las críticas de otros grupos competidores.
A esto siguió una filtración de comunicaciones internas que expuso muchos de los secretos operativos de Conti y causó malestar entre sus afiliados. Tras un importante atentado contra el gobierno de Costa Rica, el Departamento de Estado de Estados Unidos ofreció una recompensa de 10 millones de dólares por información relacionada con la identidad o localización de los líderes del Conti, lo que probablemente contribuyó a la decisión del grupo de cerrar sus operaciones en mayo.
La desaparición de Conti provocó un descenso de la actividad de ransomware durante un par de meses, pero no duró mucho, ya que el vacío fue ocupado rápidamente por otros grupos, algunos de ellos de nueva creación y sospechosos de ser fundados por antiguos miembros de Conti, REvil y otros grupos que cesaron sus operaciones en los últimos dos años.
Principales bandas activas de ransomware a seguir en 2023
LockBit toma la delantera
LockBit es el principal grupo que intensificó sus operaciones tras el cierre de Conti, renovando su programa de afiliados y lanzando una versión nueva y mejorada de su programa de ransomware. Aunque lleva operando desde 2019, no ha sido hasta LockBit 3.0 cuando este grupo ha conseguido ponerse a la cabeza del panorama de amenazas de ransomware.
Según informes de múltiples empresas de seguridad, LockBit 3.0 fue responsable del mayor número de incidentes de ransomware durante el tercer trimestre de 2022 y fue el grupo con el mayor número de víctimas listadas en su sitio web de filtración de datos durante todo el año. Este grupo podría ver sus propias escisiones en 2023, ya que el constructor de LockBit fue filtrado por un antiguo desarrollador descontento. Ahora cualquiera puede construir su versión personalizada del programa ransomware. Según Cisco Talos, un nuevo grupo de ransomware apodado Bl00dy Gang ya ha comenzado a utilizar el constructor filtrado de LockBit 3.0 en ataques recientes.
Hive extorsiona más de 100 millones de dólares
El grupo con mayor número de víctimas reclamadas en 2022 después de LockBit, según Cisco Talos, es Hive. Esta fue la principal familia de ransomware observada a lo largo de los compromisos de respuesta a incidentes de Talos este año y la tercera en la lista de casos de respuesta a incidentes para Palo Alto Networks después de Conti y LockBit. Según un aviso conjunto del FBI, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) y el Departamento de Salud y Servicios Humanos de Estados Unidos (HHS), este grupo logró extorsionar más de 100 millones de dólares a más de 1.300 empresas de todo el mundo entre junio de 2021 y noviembre de 2022.
"Se sabe que los actores de Hive han reinfectado -con el ransomware Hive u otra variante de ransomware- las redes de las organizaciones víctimas que han restaurado su red sin efectuar el pago del rescate", afirman las agencias.
Black Basta, un spinoff de Conti
La tercera banda de ransomware más prolífica de 2022 según las observaciones de Talos ha sido Black Basta, un grupo que se sospecha que es un spinoff de Conti dadas algunas similitudes en sus técnicas. El grupo comenzó a operar en abril, no mucho antes de que Conti cerrara, y evolucionó rápidamente su conjunto de herramientas. El grupo se basa en el troyano Qbot para su distribución y explota la vulnerabilidad PrintNightmare.
A partir de junio, el grupo también introdujo un cifrador de archivos para sistemas Linux, dirigido principalmente a máquinas virtuales VMware ESXi. Esta expansión multiplataforma también se ha observado en otros grupos de ransomware como LockBit y Hive, ambos con cifradores para Linux, o en ransomware como ALPHV (BlackCat), escrito en Rust, lo que le permite ejecutarse en varios sistemas operativos. Golang, otro lenguaje de programación y tiempo de ejecución multiplataforma, también ha sido adoptado por algunas bandas de ransomware más pequeñas, como HelloKitty (FiveHands).
El grupo Royal cobra fuerza
Otro grupo sospechoso de tener vínculos con Conti y que apareció a principios de este año se llama Royal. Aunque al principio utilizaba programas ransomware de otros grupos, como BlackCat y Zeon, el grupo desarrolló su propio encriptador de archivos que parece estar inspirado o basado en Conti y rápidamente ganó impulso, arrebatándole el liderazgo a LockBit en número de víctimas en noviembre. A este ritmo, se espera que Royal sea una de las principales amenazas de ransomware en 2023.
Vice Society apunta al sector educativo
Royal no es el único ejemplo de un exitoso grupo de ransomware que alcanzó el éxito reutilizando programas de ransomware desarrollados por otros. Uno de estos grupos, llamado Vice Society, es el cuarto más grande en función del número de víctimas que figuran en su sitio de filtración de datos, según Cisco Talos. Este grupo se dirige principalmente a organizaciones del sector educativo y se basa en bifurcaciones de familias de ransomware preexistentes, como HelloKitty y Zeppelin.
Más grupos de ransomware, un reto para la inteligencia de amenazas
"El fin de los grandes monopolios del ransomware ha supuesto un reto para los analistas de inteligencia de amenazas", afirman los investigadores de Cisco Talos. "Al menos ocho grupos representan el 75% de las publicaciones en sitios de filtración de datos que Talos vigila activamente. La aparición de nuevos grupos dificulta la atribución, ya que los adversarios trabajan a través de múltiples grupos RaaS".
Algunos grupos como LockBit han empezado a introducir métodos de extorsión adicionales, como ataques DDoS, para obligar a sus víctimas a pagar rescates. Es probable que esta tendencia continúe en 2023, ya que se espera que los grupos de ransomware ideen nuevas tácticas de extorsión para monetizar los ataques a las víctimas donde se detectan antes de desplegar la carga útil final del ransomware. La mitad de los casos de respuesta a incidentes relacionados con ransomware de Cisco Talos se han producido en la fase previa al ransomware, lo que demuestra que las empresas están mejorando en la detección de las TTP asociadas a las actividades previas al ransomware.
