Ryuk continúa dominando los casos de respuesta de ransomware


El análisis revela cómo los operadores de Ryuk están cambiando sus técnicas y utilizando nuevos medios para entrar.

Ryuk ha dominado el panorama de amenazas de ransomware por cuarto trimestre consecutivo, informan investigadores de Cisco Talos en un análisis de las tendencias de respuesta a incidentes. Sus operadores están cambiando la estrategia, lo que representa un mayor riesgo para las organizaciones cuyos esfuerzos de respuesta se ven obstaculizados por COVID-19.

El ransomware continuó constituyendo la mayoría de las amenazas observadas por el equipo de respuesta a incidentes de Cisco Talos (CTIR), que hoy publicó su análisis de las tendencias de respuesta a incidentes de verano. Ryuk ha sido una gran amenaza de ransomware para los clientes durante el último año, dice Sean Mason, gerente common de CTIR, aunque el equipo también ve a otras familias, incluidas Phobos y Maze.

En los últimos trimestres, Ryuk ha evolucionado de manera que indica que sus operadores están cambiando sus tácticas, explica Mason, señalando un ejemplo: «Vemos una tendencia emergente en Ryuk, donde no está necesariamente precedida por una infección de Troya, lo que puede permitir que no se detecte durante algún tiempo y provocar el aumento de infecciones que estamos viendo «, dice.

CTIR está viendo menos incidentes en los que Emotet y TrickBot sirven como el gotero inicial para el ransomware Ryuk, una de las razones por las que hay menos ataques con troyanos básicos. Sus operadores han cambiado a herramientas para vivir fuera de la tierra, que pueden ayudarlos a eludir las herramientas de seguridad, permanecer en silencio y darles un marco de tiempo más largo para lograr sus objetivos.

«Al limitar el ruido y hacer todo lo posible para mezclarse, pueden evitar la detección y comprar más tiempo para atravesar la purple y lograr sus objetivos», señala Mason.

El ransomware también ha evolucionado de otras maneras. Ryuk usó comandos codificados de PowerShell para descargar la carga útil inicial, deshabilitar las herramientas antivirus y de seguridad, detener las copias de seguridad y escanear la purple para proporcionar una lista de hosts en línea y fuera de línea. Sus operadores están utilizando más Home windows Management Instrumentation (WMI) y BitsAdmin para implementar Ryuk además de PsExec. CTIR vio a los atacantes de ransomware exfiltrando datos confidenciales para usar como palanca para obligar a las víctimas a pagar el rescate, continuando una tendencia que comenzó en 2019,.

«A medida que los actores continúan encontrando que el ransomware es un modelo de negocio lucrativo, y con la amenaza adicional de extorsión del chantaje, los actores han mostrado su disposición a actualizar continuamente su malware agregando nuevos módulos para aumentar el movimiento lateral y la filtración de datos», explica Mason.

CTIR informa que una serie de verticales se vieron afectadas durante el último trimestre: energía y servicios públicos, servicios financieros, gobierno, atención médica, distribución industrial, fabricación, comercio minorista, tecnología, telecomunicaciones y transporte. La atención médica y la tecnología fueron las más afectadas, reemplazando los servicios financieros y el gobierno, que fueron los principales objetivos en el trimestre anterior.

Cómo se rompe Ryuk
El phishing siguió siendo el principal vector de ataque en enfrentamientos donde se podía identificar el punto de entrada inicial, los investigadores explican, señalando que esto fue difícil debido a las deficiencias en la tala. Aun así, CTIR vio varios casos en los que los atacantes forzaron brutalmente los servicios de escritorio remoto de un objetivo. Es difícil decir qué está contribuyendo a este cambio Sin embargo, Mason plantea la hipótesis de que podría deberse en parte al aumento de trabajadores remotos vinculados a COVID-19, que ha expandido la superficie de ataque.

«Además, vimos un aumento en los ataques de ransomware Phobos, (que) generalmente aprovechan las conexiones RDS comprometidas como un vector inicial», dice. «A pesar de estos aumentos, el phishing sigue siendo el principal vector de infección que hemos visto, por cuarto trimestre consecutivo».

Si bien los atacantes han estado utilizando señuelos relacionados con el coronavirus en campañas de phishing, CTIR no vio ningún compromiso que aprovechara COVID-19. Se dieron cuenta de que la pandemia está afectando a las organizaciones, especialmente a las del área de la atención médica, en su capacidad para responder a los ataques. La planificación de respuesta a incidentes anterior a COVID-19 no tuvo en cuenta tanto una pandemia como un ciberataque, y el coronavirus ha limitado el viaje, el personalized y el presupuesto necesarios para manejar los ataques.

«Desde una perspectiva basic, ninguna planificación había tenido en cuenta un incidente de pandemia y ciberseguridad que ocurriera en paralelo», dice Mason. Factores como las limitaciones de ancho de banda y las personas encargadas de la respuesta a la exposición al virus y forzados a la cuarentena son raros, pero han afectado la capacidad de las organizaciones para manejar este tipo de ataques.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de individual de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policies & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia primary