El volumen de ransomware casi duplica los totales de 2021 en un solo trimestre



Después de un 2021 plagado de ransomware, los volúmenes de ataques continúan aumentando en 2022. De hecho, un informe publicado el martes indica que solo en los primeros tres meses de este año, el volumen de detecciones de ransomware casi duplicó el volumen complete informado durante todo el año pasado. .

Los números cada vez más altos se produjeron a pesar de lo que parecía ser la caída de un importante grupo de ransomware a fines de 2021: REvil. Esto sirve como testimonio de la persistencia de los actores criminales en la reforma, el cambio de marca y la reagrupación de sus bandas criminales para beneficiarse generosamente de las tácticas de ransomware.

Esta persistencia ha sido estudiada más recientemente por investigadores de seguridad que han notado el rápido aumento de la pandilla de ransomware Black Basta en los últimos dos meses, luego de la aparición del grupo LAPSUS$ a principios de año.

Ransomware 2022 Volúmenes: arriba, arriba, arriba

Los números de hoy vienen por la vía del trimestral”Informe de seguridad en Netde WatchGuard Threat Lab, que examina las tendencias de amenazas del primer trimestre de 2022. Los investigadores de la firma informan que las detecciones de ransomware únicas en los primeros tres meses del año triplicaron el volumen del mismo período de 2021. Mientras tanto, el volumen de ransomware del primer trimestre de 2022 igualó más del 80% del volumen whole registrado en todo 2021.

«Basándonos en el aumento inicial de ransomware este año y los datos de trimestres anteriores, predecimos que 2022 romperá nuestro récord de detecciones anuales de ransomware», dice el director de seguridad de WatchGuard, Corey Nachreiner, y señala que la última marca anual máxima para el volumen de ransomware se produjo allá por 2018.

LAPSUS$ da un paso adelante en la economía clandestina

El informe de su equipo explica que incluso ante los arrestos y cargos de alto perfil realizados por las autoridades estadounidenses y rusas a fines de 2021 y principios de 2022 que resultaron en la interrupción de la prolífica banda de ransomware REvil, los ataques de ransomware siguen llegando. Su análisis muestra que la disrupción de REvil «abrió la puerta» para que LAPSUS$ emergiera a lo grande.

“El grupo LAPSUS$ llegó a los titulares mundiales con sus técnicas de ransomware de doble extorsión que hicieron que los tomadores de decisiones de seguridad cibernética tomaran nota”, afirma el informe. “Se sabía que el grupo contrataba empleados de organizaciones para robar información desde adentro y luego usaba técnicas de extorsión para chantajear a las organizaciones víctimas. Su lista de víctimas también puso sobre aviso a los tomadores de decisiones. Microsoft, Nvidia, Samsung, Ubisoft, Okta y T-Mobile son víctimas de LAPSUS$”.

Este tipo de resurgimiento de nuevos grupos debería empañar las celebraciones de los equipos de seguridad por la desaparición de grupos como REvil y Conti, que en mayo se informó que cerraron sus operaciones. Las estadísticas de NCC Team muestran un ligero descenso en los ataques ese mes, con una advertencia de que otros jefes de la pandilla de ransomware Hydra ya estaban comenzando a surgir.

Black Basta: New Child en el bloque de ransomware

Más recientemente, la pandilla de ransomware Black Basta ha irrumpido en escena. A principios de mes, dos informes separados de Uptycs y NCC Team mostraron que Black Basta estaba apuntando a sistemas y servidores basados ​​en ESXi entre otras víctimas, y aprovechando la familia de malware Qbot (también conocido como Qakbot) para mantener la persistencia en las redes que persigue.

«Si bien Black Basta no es el primero en desarrollar capacidades contra ESXi (LockBit, Hive y Cheerscrypt ya han demostrado capacidades de ESXi), esto muestra la sofisticación relativa de los equipos que trabajan bajo Black Basta que realizan las operaciones de ransomware», dijo Jake Williams, director ejecutivo de inteligencia de amenazas cibernéticas en SCYTHE, en un comunicado proporcionado a Dim Examining. «El uso de malware básico como Qakbot demuestra que no existe tal cosa como una infección de malware ‘comercial’. Las organizaciones deben tratar cada detección de malware como una oportunidad para que un actor de amenazas implemente ransomware».

Mientras tanto, un informe consultivo del equipo de investigación de Cybereason Nocturnus la semana pasada ofreció más detalles sobre las tácticas, técnicas y procedimientos de Black Basta. Consideraron que la amenaza del grupo era muy grave, ya que ha victimizado a más de 50 empresas en países de habla inglesa en todo el mundo desde abril. Los investigadores dijeron que el sello distintivo de la empresa es el uso de la doble extorsión, es decir, el robo de archivos e información confidenciales y su uso para extorsionar a las víctimas al amenazar con publicar los detalles a menos que se pague un rescate. Las cantidades solicitadas son a menudo de millones.

El repentino ascenso de Black Basta hace que algunos especulen que el grupo es en realidad solo una reagrupación de los dos grupos disueltos más recientemente.

“Debido a su rápida ascensión y la precisión de sus ataques, es probable que Black Basta sea operado por ex miembros de las desaparecidas pandillas Conti y REvil, las dos pandillas de ransomware más rentables en 2021”, dice Lior Div, director ejecutivo de Cybereason.



Enlace a la noticia initial