Flexibles, industrializadas y políticas: las pandillas de ransomware se reinventan en 2022
Kaspersky analiza las últimas tendencias adoptadas por los grupos de ransomware y comparte consejos para contrarrestarlos.
La primera tendencia es el uso de capacidades multiplataforma. Últimamente, el objetivo es dañar el mayor número de sistemas posible con un mismo malware desarrollando código que se pueda ejecutar en varios sistemas operativos a la vez. Conti, uno de los grupos de ransomware más activos, ha desarrollado una variante que se distribuye a través de afiliados seleccionados y se dirige a Linux. A fines de 2021, Rust y Golang, lenguajes de programación multiplataforma, se generalizaron más. BlackCat, una pandilla de malware autoproclamada de «próxima generación» que, según reportes, ha atacado a más de 60 organizaciones desde diciembre de 2021, desarrolló su malware en Rust. Golang fue utilizado en ransomware por DeadBolt, un grupo infame por sus ataques a QNAP, de acuerdo con el desarrollador.
Además, a finales de 2021 y principios de 2022, los grupos de ransomware continuaron sus actividades para facilitar sus procesos de negocio, incluido el cambio de marca regular para desviar la atención de las autoridades y la actualización de las herramientas de exfiltración. Algunos grupos desarrollaron e implementaron kits de herramientas completos que se parecían a los de compañías de software benignas. Lockbit se destaca como un ejemplo de la evolución de una banda de ransomware. La organización cuenta con una serie de mejoras en comparación con sus rivales, incluidas actualizaciones periódicas y reparaciones de su infraestructura. También presentó por primera vez StealBIT, una herramienta personalizada de exfiltración de ransomware que permite la exfiltración de datos a velocidades nunca antes vistas, una señal del arduo trabajo del grupo para acelerar los procesos de malware.
Otra tendencia de la que han sido testigos los expertos de Kaspersky es el resultado de la situación geopolítica, en referencia al conflicto en Ucrania, que ha tenido un gran impacto en el panorama del ransomware. Aunque estos ataques suelen estar asociados con actores de amenazas persistentes avanzadas (APT), la marca dijo detectar varias actividades importantes en foros dedicados al cibercrimen y acciones de grupos de ransomware en respuesta a la situación. Poco después de que comenzara el conflicto, los grupos de ransomware tomaron partido, lo que condujo a ataques por motivos políticos por parte de algunas bandas de ransomware en apoyo de Rusia o Ucrania. Uno de los programas maliciosos que se descubrió recientemente durante el conflicto es el Freeud, desarrollado por los partidarios de Ucrania. Freeud cuenta con funcionalidad de borrado. Si el malware contiene una lista de archivos, en lugar de cifrarlos, los borra del sistema.
“Si el año pasado dijimos que el ransomware estaba floreciendo, este año está en apogeo. Aunque los principales grupos de ransomware del año pasado se vieron obligados a abandonar sus actividades, han aparecido nuevos actores con técnicas nunca antes vistas”, comentó Dmitry Galov, investigador sénior de seguridad del Equipo de análisis e investigación global de Kaspersky. “Sin embargo, a medida que las amenazas de ransomware evolucionan y se expanden, tanto tecnológica como geográficamente, se vuelven más predecibles, lo que nos ayuda a detectarlas y defendernos mejor de ellas”.
El pasado 12 de mayo se celebró el Día Anti-Ransomware y Kaspersky alienta a las organizaciones a seguir las siguientes mejores prácticas para protegerse contra el ransomware:
–Mantenga siempre el software actualizado en todos los dispositivos que utiliza para evitar que los atacantes aprovechen las vulnerabilidades e infiltren su red.
–Enfoque su estrategia de defensa en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes a su red. Configure copias de seguridad fuera de línea que intrusos no puedan manipular. Asegúrese de poder acceder a ellos rápidamente cuando sea necesario o en caso de emergencia.
–Habilite la protección contra ransomware para todos los endpoints. La herramienta Anti-Ransomware Tool for Business es gratuita y protege las computadoras y los servidores del ransomware así como de otros tipos de malware, evita las vulnerabilidades y es compatible con otras soluciones de seguridad ya instaladas.
–Instale soluciones anti-APT y EDR, habilitando capacidades para el descubrimiento y detección de amenazas avanzadas, investigación y remediación oportuna de incidentes. Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente y mejore sus habilidades regularmente a través de capacitaciones profesionales. Todo lo anteriormente mencionado está disponible como parte de Expert Security framework.
–Proporcione a su equipo de SOC acceso a la inteligencia de amenazas (TI) más reciente. El Threat Intelligence Portal es el único punto de acceso para la inteligencia de amenazas de Kaspersky y proporciona información y datos sobre ciberataques recopilados por nuestro equipo durante más de 20 años.
WhatsApp eSemanal 55 7360 5651
