Ransomware

El ‘ransomware’ vuelve a tomar la delantera

Un informe de Mandiant concluye que el repunte de los ataques, en auge desde 2022, es debido, entre otras razones, a que los atacantes confían en distintas herramientas públicas para perpetrarlos.

ransomware equipos incidente

Un reciente informe de Mandiant concluye que el ransonware está desbocado debido a su rentabilidad frente a otros tipos de ciberdelincuencia.

En concreto, si comparamos los datos de 2023 con los de 2022, se ha producido un incremento del 75% en las publicaciones en sitios de fuga de datos (DLS), así como también un aumento de más del 20% en las investigaciones dirigidas por Mandiant que involucran ransomware de 2022 a 2023. En conclusión, dado que estas observaciones son coherentes con las publicadas en otros informes, se puede concluir que la cifra pagada a los atacantes de ransomware en 2023 alcanzó la cifra récord de mil millones de dólares pagados.

Una de las conclusiones del informe es que esta tendencia demuestra que el ligero descenso de la actividad extorsionadora observado en 2022 fue una anomalía, debida potencialmente a factores como la invasión de Ucrania y la filtración de los chats de CONTI. Por lo tanto, el informe destaca que el actual resurgimiento de la actividad extorsionadora puede deberse a varios factores, tales como el restablecimiento del ecosistema de la ciberdelincuencia tras el año 2022, nuevos participantes, asociaciones y ofertas de servicios de ransomware por parte de actores anteriormente asociados a grupos prolíficos que habían sido desarticulados.

 

Panorama del ‘ransomware’ en 2023

El informe destaca que el ransomware sigue siendo una importante amenaza para las organizaciones en todos los sectores y regiones geográficas. A modo de ejemplo, las víctimas en DLS abarcaron más de 110 países en 2023. Además, las ofertas de ransomware como servicio (RaaS), tanto nuevas como existentes, reducen la barrera de entrada para los actores de amenazas interesados en llevar a cabo estas operaciones. El aumento del 75% de las víctimas registradas en DLS en comparación con 2022 ilustra el continuo interés en estas operaciones. Aunque la mecánica general de las operaciones RaaS se ha mantenido bastante constante, algunos actores han probado métodos nuevos y únicos para aumentar la presión de extorsión sobre las víctimas y/o para obtener pagos.

 

Sitios de fuga de datos

2023 ha sido el año con el mayor volumen de publicaciones en sitios de difamación desde que los autores de este artículo comenzamos a rastrear estos sitios en el primer trimestre de 2020, con el tercer trimestre de 2023 batiendo el récord trimestral con más de 1.300 publicaciones. Otros indicadores también apoyan un aumento en la actividad general del ransomware, incluido un aumento del 15% en sitios únicos con al menos una publicación y un aumento de más del 30 % en nuevos DLS en 2023 en comparación con 2022.

Aproximadamente el 30% de las publicaciones en 2023 fueron en DLS recientemente identificadas asociadas con varias familias de ransomware, incluyendo ROYALLOCKER.BLACKSUIT, RHYSIDA y REDBIKE (alias Akira). En particular se han identificado solapamientos limitados con varias de las principales DLS nuevas y actores de amenazas rastreados y/o familias de ransomware previamente observadas (Figura 3). Es posible que al menos una parte de la actividad de DLS recientemente identificada sea el resultado de actores ya establecidos que forman nuevas alianzas o cambian de marca, en lugar de crear ofertas completamente nuevas.

 

Nuevas familias de ‘ransomware’

Mandiant observó directamente más de 50 nuevas familias y variantes de ransomware en 2023, aproximadamente las mismas que en 2021 y 2022. Sin embargo, la proporción de nuevas variantes en comparación con las familias aumentó, ya que alrededor de un tercio de las nuevas familias observadas en 2023 eran variantes de familias previamente identificadas. Esto podría sugerir que los actores de amenazas están empleando su tiempo y recursos en actualizar familias de ransomware preexistentes en lugar de crear nuevas familias desde cero. Además, desde 2021, hemos observado un aumento en la proporción de familias y variantes de ransomware capaces de cifrar sistemas Linux y ESXi en comparación con Windows, una tendencia que continuó a lo largo de 2023.

Más en concreto, aproximadamente el 70% de las subfamilias en 2023 se diseñaron para atacar sistemas no Windows cuando ya existía una variante para este sistema operativo, mientras que alrededor del 11% de las subfamilias fueron el resultado de cambios de marca. Es probable que los actores de amenazas hayan seguido atacando este tipo de sistemas para aumentar su superficie de ataque potencial y maximizar su impacto, así como las posibles demandas de rescate.

 

Momento de despliegue del ‘ransomware’

Mientras que, de manera histórica, hemos identificado patrones claros en el día más destacado de la semana para la ejecución de ransomware y un alto volumen de actividad que ocurre fuera de las horas de trabajo, los operadores de ransomware parecían ser menos deliberados en su calendario en 2023. Alrededor del 75% de esos despliegues parecían producirse fuera del horario laboral estándar, una ligera reducción con respecto a 2021 y 2022, y la ejecución de ransomware se distribuyó más uniformemente entre los días de la semana que en años anteriores.

La media del tiempo transcurrido entre el acceso inicial y el despliegue del ransomware aumentó ligeramente de cinco días en 2022 a seis en 2023. En los últimos años, hemos asistido una reducción significativa en el tiempo transcurrido entre el acceso inicial y el despliegue del ransomware. La media del tiempo transcurrido durante las intrusiones entre 2017 y 2019 fue de 21 días, que disminuyó drásticamente a sólo 3,5 días en 2020, antes de cambiar al alza a siete días 2021. Los incidentes que implican extorsión de robo de datos siguen tardando más que los incidentes que sólo implican el despliegue de ransomware. A su vez, en 2023, observamos aproximadamente el 59% de los incidentes que implicaban extorsión por robo de datos confirmada o sospechada, en comparación con aproximadamente el 51% en 2022. Este aumento probablemente se refleje en el ligero aumento de la media de tiempo en 2023 en comparación con 2022.

 

TTP más comunes

En cuanto a las tendencias en las TTP utilizadas por los ciberdelincuentes que distribuyen ransomware tras el ataque, los vectores de acceso inicial más comunes en 2023 fueron el robo de credenciales o la explotación de vulnerabilidades en la infraestructura de cara al público. En numerosos incidentes, la primera prueba del compromiso de la red fue la autenticación de un actor en la red privada virtual (VPN) de la víctima, ya fuera mediante la posesión de credenciales legítimas o mediante un ataque de fuerza bruta. También observamos un ligero aumento de los ataques de fuerza bruta en 2023 en comparación con 2022.

Por otro lado, los actores de amenazas utilizaron una combinación de herramientas legítimas de acceso remoto, marcos de ataque y credenciales válidas para establecer puntos de apoyo dentro de los entornos de las víctimas. Así, BEACON siguió siendo el marco de ataque más popular utilizado por los actores de amenazas. Tanto es así, que se utilizó para establecer un punto de apoyo en aproximadamente el 10% de los compromisos de ransomware en 2023. Otros marcos de explotación, como BOLDBADGER y METASPLOIT, se observaron en un pequeño subconjunto de incidentes de ransomware. Por ejemplo, en una intrusión de LOCKBIT.BLACK, los autores establecieron un punto de apoyo a través de BOLDBADGER.

Para mantener su presencia en los entornos de las víctimas, los ciberdelincuentes recurrieron en gran medida a herramientas legítimas de acceso remoto, BEACON y diversos programas maliciosos y proxy. En algunos casos, también utilizaron mecanismos de persistencia integrados en Windows, crearon nuevas cuentas o cambiaron contraseñas de cuentas preexistentes.

Hay que destacar que, en la mayoría de los casos, los agresores escalaban privilegios en los entornos de las víctimas mediante la obtención de credenciales válidas, con mayor frecuencia a través de MIMIKATZ, aunque solían emplear varias herramientas y/o tácticas en una sola intrusión. Otras herramientas de robo de credenciales utilizadas por los ciberdelincuentes fueron CLEANBLUFF, LAZAGNE, NANODUMP y diversas herramientas y secuencias de comandos de acceso público. Los actores de amenazas también intentaron la escalada de privilegios a través de otros métodos, incluyendo la explotación de vulnerabilidades, DPAPI, y ataques kerberoasting.

A esto hay que unir que los autores de las amenazas utilizan con frecuencia utilidades integradas en Windows, así como herramientas legítimas y de acceso público, para facilitar las actividades de reconocimiento interno durante los incidentes de ransomware. En varios incidentes, observamos que los actores de amenazas buscaban en recursos internos, como unidades de SharePoint, documentación y correos electrónicos, información específica que pudiera respaldar sus operaciones.



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper