Las estrategias de los operadores de ransomware evolucionan a medida que aumentan los ataques



Los investigadores de seguridad encuentran que los operadores de ransomware dependen menos del correo electrónico y más de los grupos criminales para el acceso inicial a las redes objetivo.

Las bandejas de entrada de correo electrónico corporativo siguen siendo un objetivo valioso para muchos ciberdelincuentes, pero los operadores de ransomware están encontrando nuevas vías en las redes empresariales a medida que mejoran las herramientas defensivas, según muestra una nueva investigación.

Los atacantes de ransomware han comenzado a aprovechar las organizaciones delictivas, en su mayoría distribuidores de troyanos bancarios, para la implementación de malware. Estos llamados «facilitadores de acceso» distribuyen puertas traseras a las víctimas mediante enlaces y archivos adjuntos maliciosos enviados por correo electrónico. Una vez que se infiltran en un objetivo, los atacantes pueden vender su acceso a grupos de ransomware por una parte de las ganancias, informa Proofpoint.

El equipo de investigación de amenazas de la empresa de seguridad analizó datos desde 2013 hasta el presente para comprender las tendencias que rodean al ransomware y al correo electrónico como vector de acceso. Los investigadores encontraron que el ransomware enviado directamente a las víctimas a través de archivos adjuntos de correo electrónico o enlaces ocurría en «volúmenes relativamente bajos y consistentes» antes de 2015, momento en el que este tipo de ataques de ransomware comenzaron a dispararse. Locky, por ejemplo, alcanzó 1 millón de mensajes por día en 2017 antes de que sus operaciones se detuvieran.

Estas campañas de ransomware de «primera etapa» se redujeron drásticamente en 2018 cuando los atacantes se alejaron del correo electrónico para implementar su carga útil inicial. Hubo varias razones para el cambio: la detección de amenazas mejoró, las máquinas encriptadas individualmente llevaron a pagos limitados, y el aumento de amenazas operadas por gusanos y humanos les dio el poder de volverse más disruptivas.

«Muchos equipos de TI y seguridad de la información en entornos corporativos pudieron adaptarse rápidamente al manejo de un incidente de ransomware en una sola computadora portátil o host, tratándolo de alguna manera como hardware robado y simplemente reformateando y siguiendo adelante», explica Sherrod DeGrippo, senior director de investigación y detección de amenazas en Proofpoint. Como resultado, los equipos de ransomware no estaban obteniendo el pago que esperaban y reconsideraron sus estrategias.

«Los actores de amenazas pasaron a los descargadores como una primera etapa para tener más opciones y flexibilidad», continúa. «Es una evolución all-natural». Ahora, el ransomware rara vez se distribuye por correo electrónico: solo una cepa representa el 95% del ransomware como carga útil de correo electrónico de primera etapa entre 2020 y 2021, investigadores nota en un nuevo informe.

Los troyanos bancarios fueron el malware más popular distribuido por correo electrónico en la primera mitad de 2021, representando casi el 20% del malware observado por Proofpoint. Los grupos delictivos que ya propagan troyanos bancarios también pueden formar parte de una pink de afiliados de ransomware Los investigadores actualmente rastrean al menos 10 grupos de ataque que actúan como facilitadores de acceso inicial o posibles afiliados de ransomware.

Grupos de malware y ataques a vigilar
Antes de su eliminación a principios de este año, Emotet anteriormente se desempeñaba como principal distribuidor de malware que provocó infecciones de ransomware entre 2018 y 2020. Desde que se interrumpió, los investigadores han observado una actividad constante de The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif, y otros programas maliciosos que sirven como cargas útiles de primera etapa en un intento de aumentar la infección, incluido el ransomware.

Los investigadores también rastrean a los descargadores, como Buer Loader y BazaLoader, que se utilizan comúnmente como vector inicial de ransomware. Durante los últimos seis meses, Proofpoint ha visto casi 300 campañas de descarga que distribuyen casi 6 millones de mensajes maliciosos.

Sus hallazgos revelan una superposición entre los grupos de amenazas, el malware y las implementaciones de ransomware. El ransomware Conti, por ejemplo, se ha vinculado a cargadores de primera etapa, incluidos Buer, The Trick, Zloader e IcedID. Del mismo modo, el cargador IcedID se ha asociado con el ransomware Sodinokibi, Maze y Egregor.

Los grupos de ataque de alto volumen que utilizan esta táctica incluyen actores rastreados como TA800, TA577 y TA570, aunque hay muchos otros descritos en la publicación del web site de los investigadores. TA577, por ejemplo, se ha rastreado desde mediados de 2020 y lleva a cabo amplios ataques en industrias y regiones utilizando cargas útiles como Qbot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike. Su actividad ha aumentado un 225% solo en los últimos seis meses, informan los investigadores.

Vale la pena señalar que el ransomware no es la única carga útil de segunda etapa asociada con este malware, y los atacantes de ransomware dependen de otros vectores para distribuir las cargas útiles. Algunos explotan fallas en el computer software que se ejecuta en dispositivos de pink expuestos a Internet o servicios de acceso remoto inseguros. Otros objetivos comunes incluyen el Protocolo de escritorio remoto, VPN y otros dispositivos de pink externos, dice DeGrippo. No se limitan a las puertas traseras de malware existentes.

«Independientemente de la economía del corredor, los vectores iniciales ahora son mucho más abiertos y disponibles», explica. «Los actores de amenazas se han especializado y aportaron gran eficacia a sus campañas con esa especialización».

Lo que sucede con el acceso inicial una vez que se vende varía según el atacante, dice DeGrippo. Algunos atacantes mantienen el acceso y lo venden algunos remendan los agujeros que usaron para hacerse un hueco y eliminar los rastros de su presencia. También ha habido un aumento en la extorsión doble y triple, vendiendo datos robados en los mercados de la Dim World wide web o publicándolos a menos que se pague un rescate.

Ransomware en aumento
Estos hallazgos emergen como Informes de Verify Issue Exploration un aumento del 41% en los ataques de ransomware desde principios de 2021 y un aumento del 93% año tras año. El promedio semanal de ataques de ransomware saltó en mayo a 1.115 para la primera quincena de junio, ese número llegó a 1.210.

Las industrias que experimentaron los picos más altos en los intentos de ransomware incluyen la educación, que registró un aumento del 347% en los ataques semanales, el transporte (186%), el comercio minorista / mayorista (162%) y la atención médica (159%).

Desde principios de 2021, América Latina, con un aumento del 62%, tuvo el mayor aumento en los intentos de ataque de ransomware por región geográfica, seguida de Europa (59%), África (34%) y América del Norte (32%).

Y a medida que los ataques continúan aumentando, surgen nuevas variantes de ransomware. NCC Group esta semana hallazgos publicados en una nueva variante de Fivehands implementada por un afiliado que utiliza herramientas disponibles públicamente para avanzar en su ataque. La inteligencia de código abierto indica un vínculo con el grupo UNC2447, que apunta a múltiples rasgos, incluidas tácticas agresivas al instar a los objetivos a pagar el rescate.

Kelly Sheridan es la editora de private de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first