Panorama De Ransomware Para El Primer Semestre De 2022
Este primer semestre de 2022 estuvo marcado por importantes eventos vinculados a la actividad del ransomware. Incluyendo la declaración de emergencia nacional en Costa Rica el 11 de mayo, luego de un ataque de ransomware de un mes que afectó a su administración, el más ampliamente informado y posiblemente el más importante de ellos. Esta campaña, reivindicada y atribuida a Conti, fue la primera en provocar tal respuesta de un país. Otra víctima que experimentó un gran impacto, aunque no del mismo alcance, fue el Lincoln College en Illinois, EE.UU., la primera universidad en cerrar tras un ataque de ransomware.
SEKOIA.IO presentó su panorama de amenazas Ransomware para el primer semestre de 2022, con los siguientes puntos clave:
- Victimología del ransomware: evoluciones recientes
- Una primera mitad del año ajetreada: varios recién llegados al vecindario del ransomware
- Tendencia de características de ransomware multiplataforma
- Nuevas técnicas de extorsión
- Grupos con nexos estatales que llevan a cabo campañas de ransomware
- Actividades en la dark web de los grupos de amenazas
- ¿Un cambio hacia la extorsión sin cifrado?
- Victimología del ransomware: evoluciones recientes
Cantidad de ataques
El servicio de monitoreo de la empresa identificó 1.350 ataques de ransomware divulgados públicamente en el primer semestre de 2022, contra 1067 en el mismo período en 2021. Sin embargo, este aumento del 26,5% no es uniforme durante todo el período, como se muestra en el gráfico a continuación.
Se informó un número creciente de ataques de ransomware desde principios de año hasta finales de abril de 2022. Esto parece reflejar el crecimiento natural de la amenaza, siguiendo una curva predominantemente ascendente del número observado de ataques de ransomware, con actividad reducida. durante las temporadas de vacaciones dos veces al año. Se habría notado una excepción el año pasado, donde la disminución alrededor de marzo de 2021 puede haber sido impulsada por algunas de las campañas policiales anteriores.
Según el director de ciberseguridad de la Agencia de Seguridad Nacional (NSA), la disminución de los ataques observados en mayo y junio de 2022 podría explicarse por las sanciones contra Rusia tras su invasión a Ucrania. Las sanciones contra Rusia dificultaron que los ciberdelincuentes organicen ataques y reciban pagos de rescate, obligándolos a cambiar sus TTP y reducir temporalmente el ritmo de sus campañas maliciosas.
Es probable que haya otras razones para estas variaciones, ya sea situacionales u oportunistas. Por ejemplo, la disminución que se produjo entre mayo y junio de 2022 podría deberse al hecho de que los grupos de ransomware solo revelan un subconjunto de ataques. Esto podría conducir a una brecha de inteligencia significativa entre la fecha del ataque real y la fecha en que se hizo público. Por ejemplo, el grupo Black Basta anunció más de veinte víctimas a la vez a principios de julio. Dada la posible diferencia de tiempo entre las dos fechas (cifrado e inicio de la campaña de extorsión), que es diferente para cada operación de ransomware, es probable que los datos de esas víctimas se hayan cifrado antes y, por lo tanto, esta caída en la cantidad de ataques desde mayo 2022 tiene que ser relativizado.
De los 32 grupos de ransomware activos identificados que reclamaron ataques en la primera mitad de 2022, LockBit fue el más prolífico. Con al menos 439 víctimas denunciadas, fue responsable del 32,52% de las campañas conocidas, mientras que el trío LockBit + Conti + ALPHV registró más de la mitad de las víctimas (54,67%). Las últimas víctimas conocidas de Conti datan de finales de mayo de 2022, cuando el grupo eliminó su infraestructura de ataque y sus miembros migraron a otros proyectos de ransomware y/o extorsión, como BlackCat, AvosLocker, Hive, HelloKitty.
Industria afectada
En términos más generales, la industria manufacturera fue, con mucho, el sector más afectado por los recientes ataques de ransomware. Las empresas en esta vertical deben lidiar con múltiples sistemas, incluidas las redes de tecnología operativa y de la información y los equipos relacionados. Al multiplicar la complejidad de la gestión de parches y las oportunidades de configuraciones incorrectas, amplía su exposición a las ciberamenazas, lo que brinda a los atacantes más oportunidades de intrusión. Otra explicación dada por IBM en su reporte X-Force Threat Intelligence Index 2022 para este mayor número de ataques de ransomware dentro de este sector podría ser que la interrupción de la fabricación de productos afectará a toda la cadena de sus clientes, lo que aumentará la presión para solucionar rápidamente el problema pagando el rescate en lugar de pasar por una recuperación potencialmente prolongada.
Los sectores tecnológico y financiero completan el ranking de industrias más afectadas por ransomware en lo que va de 2022. A medida que más actores agregan la extorsión a sus TTP, perder la ventaja innovadora o la confianza de los clientes en sus capacidades para mantener la privacidad de sus datos puede provocar daños financieros y de reputación significativos.
Países afectados
Al menos 88 países diferentes se vieron afectados a nivel mundial, con las tasas más altas en América del Norte (incluido el 37% de las víctimas reveladas ubicadas en los EE. UU.) y Europa.
La guerra en Ucrania puso fin a la pseudo-laxitud que tenían las entidades rusas hacia los operadores de ransomware de caza mayor. Se observaron varios ataques de ransomware en infraestructura crítica rusa a principios de 2022. Algunos de ellos no exigieron rescate, pero parecían tener como objetivo "simplemente" comprometer las actividades operativas de las víctimas, como el ataque a Miratorg (el principal productor y proveedor de carne de Rusia) en 17 de marzo de 2022.
El incidente afectó al menos a 18 empresas, todas subsidiarias de Miratorg Holding. Según una agencia de supervisión rusa, dado que la víctima no ha recibido ninguna nota de rescate, el objetivo del ataque parece ser el sabotaje y no el financiero.
Una primera mitad del año ajetreada: muchos recién llegados al vecindario del ransomware
La primera mitad de 2022 no es ajena a la aparición de nuevos grupos de ransomware. No menos de 20 nuevos grupos de ransomware surgieron entre enero y junio de 2022. Un par de ellos recién están comenzando a reclutar afiliados en varios foros de delitos cibernéticos y aún no tienen víctimas conocidas públicamente, como Vandili, RTM y VulcanRansomTeam.
Se sospecha que algunos grupos de ransomware son cambios de marca como Axxes (de Midas, según Cloudsek) y Pandora (de Rook, según Cyble), o variantes más nuevas de familias de ransomware existentes como YourCyanide, Yashma y Onyx. El relativamente nuevo Black Basta también planteó preguntas entre los analistas de amenazas sobre sus posibles vínculos con otra pandilla de ransomware de primer nivel, a saber, Conti. Por cierto, el grupo utiliza una estrategia peculiar al anunciar una víctima: los operadores de Black Basta deben filtrar las direcciones IP de la víctima, los nombres de host, las versiones de los hosts comprometidos, así como una lista de nombres de usuario y contraseñas que podrían haber utilizado.
Varios de ellos son versiones modificadas del código fuente publicado anteriormente: el ransomware NB65 sería una versión modificada de Conti, y Nokoyawa tiene similitudes de código con los ransomware Babuk y Karma).
Los grupos de ransomware recién creados también prueban nuevas formas de presionar a las víctimas para que paguen: por ejemplo, LokiLocker agregó a sus técnicas la destrucción del MBR (Master Boot Record) si las víctimas no pagan. Al hacerlo, las máquinas no podrán iniciarse en el siguiente arranque. Por otro lado, el ransomware GoodWill ni siquiera intenta cobrar y requiere que sus víctimas actúen por causas sociales mientras filman, graban, toman fotos y las publican en las redes sociales con una descripción dedicada para recibir la clave de descifrado.
Tendencia de funciones multiplataforma
El cambio hacia sistemas operativos específicos distintos de Microsoft Windows aumentó en 2022 y podría verse como una tendencia confirmada que ya comenzó en años anteriores.
Además de Microsoft Windows, es el sistema operativo basado en Linux y especialmente el sistema VMware ESXi el que se ha convertido cada vez más en el objetivo de los actores de ransomware. El grupo RansomEXX, por ejemplo, adquirió esta capacidad ya en 2020. Algunos otros grupos como REvil, Conti, Black Basta, LockBit, The Hive, ALPHV desarrollaron soporte para Linux primero y luego, más recientemente, los requisitos previos específicos para VMware ESXi. Los nuevos grupos de 2022 como Cheerscrypt solo se centran en el entorno Linux.
Al realizar un ataque, los grupos de ransomware intentan centrarse en la información más valiosa de una empresa determinada: estos datos suelen estar centralizados en servidores de archivos, bases de datos y servidores de aplicaciones. Se podía acceder a algunos de ellos a través del cifrado de las estaciones de trabajo y sus conexiones relacionadas con la red, pero esto podría verse como una forma muy ineficaz de hacerlo. VMWare ESXi se usa en gran medida en entornos corporativos para virtualizar estos servidores y, por lo tanto, se convirtió en uno de los objetivos más valiosos para estos grupos que buscan robar o cifrar los datos.
Junto con estos sistemas orientados a la virtualización utilizados en grandes organizaciones, algunos grupos apuntan a empresas más medianas (o incluso a personas con un efecto a gran escala) donde el almacenamiento conectado a la red (NAS) es el equipo central para la información. Qlocker ha explotado una vulnerabilidad en los dispositivos de QNAP desde 2021, y eCh0raix/Qnapcrypt también se dirige a los equipos de QNAP y Synology.
Otro movimiento interesante con el ransomware (que también podría observarse con otras categorías de malware), para las versiones de Linux, es el cambio de lenguajes de programación. Generalmente desarrollados en C o C++, los ransomwares recientes se codifican utilizando los lenguajes Go o Rust (ALPHV, The Hive). Algunas ventajas de estos lenguajes son su facilidad de uso para construir versiones multiplataforma, su buen rendimiento y la gestión segura de la memoria. Desde la perspectiva de la protección del código, las capacidades de los defensores (en términos de ingeniería inversa) actualmente son más limitadas y podrían aumentar el tiempo dedicado a analizar este código y comprender los mecanismos de cifrado.
Los grupos de ransomware intentan aprovechar todas las tecnologías aumentando y protegiendo el impacto de sus ataques dondequiera que sea para una empresa pequeña o grande.
Nuevas técnicas de extorsión
Los grupos de ransomware mejoran constantemente sus técnicas para aumentar la presión y hacer que la víctima pague el rescate.
ALPHV/BlackCat comenzó a publicar los datos que robaron de una empresa no solo en su sitio web de fugas en ONION, sino también en un sitio web diseñado específicamente en clearweb, con un dominio nombrado de acuerdo con el nombre de la víctima. El ransomware incluía un formulario de búsqueda en el sitio web, lo que hacía posible que los empleados o clientes buscaran directamente si aparecían en la fuga. Por lo tanto, usar el nombre de la empresa como dominio y hacer que el sitio web sea fácilmente accesible en Internet sin requerir TOR permitiría que cualquier persona (empleado, cliente, competidor) obtenga la información, lo que puede ser una forma muy eficiente de aumentar la presión sobre las víctimas.
Otras técnicas observadas destinadas a presionar a la empresa de la víctima consisten en contactar directamente a sus clientes afectados, llamándolos por teléfono o enviándoles un correo electrónico, sin dar ninguna posibilidad a las estructuras o personas afectadas de permanecer en la oscuridad con respecto a la fuga. Esto también destaca que las víctimas tienen que gestionar las crisis con absoluta transparencia y garantizar una ejecución rápida.
Mientras tanto, otros grupos, como Lorenz y Cheerscrypt, siguen un enfoque más sutil que consiste en ocultar el nombre de la víctima en su sitio de fuga de datos. Esta estrategia tiene como objetivo ahorrar algo de tiempo a la víctima para que pueda salvar su reputación antes de que se filtre.
Grupos de nexos estatales que llevan a cabo campañas de ransomware
Desde 2020, se han observado actividades maliciosas asociadas con grupos de amenazas patrocinadas por el estado que incorporan cada vez más ransomware en su kit de herramientas. En el primer semestre de 2022, los grupos de nexos estatales utilizaron ransomware en sus campañas, lo que nos recuerda que los actores tradicionales del ciberdelito no son los únicos que lo aprovechan.
Por ejemplo, el grupo APT Bronze Starlight, también conocido como Dev-0401 (de China), cuya principal motivación sería el robo de propiedad intelectual o el espionaje, agregó recientemente un nuevo ransomware a su arsenal. El ransomware implementado durante sus campañas podría ser la guinda del pastel, interrumpiendo los sistemas de TI de sus víctimas, ocultando el robo de datos como extorsión y ganando dinero.
Con el tiempo, se vio que Dev-0401 implementaba el ransomware Lockfile, Pandora, NightSky, AtomSilo y Rook después de que se usara Cobalt Strike en los hosts comprometidos. El HuiLoader cargó las balizas Cobalt Strike en los hosts comprometidos. Cada ransomware solo se usó en un corto período de tiempo, acumulando pocos objetivos. El último ransomware utilizado por el grupo, Pandora, mencionó al menos 7 víctimas en su sitio de fuga de datos en marzo de 2022.
Por otro lado, se vio a un grupo APT iraní, al que los investigadores de Secureworks se refieren como COBALT MIRAGE realizando ransomware oportunista tanto para obtener ganancias financieras como para recopilar inteligencia.
Los grupos patrocinados por el estado pueden disfrazar sus campañas de exfiltración y espionaje de datos como operaciones de ransomware, por lo tanto, extraen datos antes del cifrado para amenazar a sus víctimas con una doble extorsión. Podemos esperar que los grupos de nexo estatal continúen siguiendo modelos y tendencias emergentes en el futuro, tratando de esconderse en las masas de la manera más sigilosa posible.
Actividades relacionadas con la dark web de ransomware
Los foros y mercados de ciberdelincuencia, alojados tanto en Internet normal como en la dark web, son invariablemente un refugio para los ciberdelincuentes y otros actores de amenazas. Cuando se trata de ransomware, los desarrolladores tradicionalmente eligieron esas plataformas para reclutar afiliados a su esquema RaaS (Ransomware-as-a-Service). Esas plataformas de ciberdelincuencia también sirven para vender o alquilar kits de herramientas de ransomware, compartir información, solicitar soporte, dar reseñas de usuarios, etc. Múltiples grupos de ransomware operan en colaboración con otros actores de amenazas (tanto individuos como grupos organizados) como IAB (Initial Access Brokers), afiliados pagados de "pentester" y otros.
Familias de ransomware que venden RaaS a otros actores de amenazas
Los representantes de RaaS que buscan socios para sus programas de ransomware en la dark web es una práctica bastante común y ampliamente compartida.
Sin embargo, hubo un punto de inflexión que hizo que los grupos de ransomware suspendieran esa práctica y buscaran soluciones alternativas. El cambio se produjo debido a la atención cada vez mayor y no deseada de los medios y las fuerzas del orden sobre la actividad del ransomware después del ataque del ransomware Colonial Pipeline en mayo de 2021, y porque los diferentes administradores del foro estaban preocupados por posibles seguimientos que también les llegaran (como importantes acciones de aplicación de la ley).
Y, sin embargo, el negocio del ransomware se renovó con esta técnica en 2022 y nuevamente está reclutando miembros activamente de la manera más elegante: lanzando y publicitando programas de afiliados en foros de ciberdelincuentes.
Un foro muy representativo de este tipo es en realidad RAMP (Russian Anonymous MarketPlace), fundado en 2021 como un foro dedicado a la actividad de ransomware y que cuenta con alrededor de 2500 miembros en julio de 2022. En su sección llamada "Programa de socios RaaS", al menos 10 proyectos de ransomware se anunciaron desde principios de 2022 para reclutar miembros, incluidos Monster, RTM, Luna, Avos Locker y otros grupos privados de RaaS.
En general, dichas publicaciones en foros describen las funcionalidades del ransomware y también los términos y condiciones del programa de afiliados (especialmente la distribución de ingresos entre los afiliados y los desarrolladores de ransomware, que se quedan con entre el 15 y el 30%). A partir de entonces, las discusiones continúan a través de mensajes privados en el foro o a través de Tox, una plataforma de mensajería instantánea muy preferida entre los actores de ransomware últimamente.
Entre los diversos ransomware que se promocionan en RAMP desde principios de 2022, la mayoría tiene prohibido implementarse en los países de la Comunidad de Estados Independientes (CEI) y están destinados solo a afiliados de habla rusa (MONSTER, RTM, Conti, Luna y otros).
Grupos de ransomware que buscan acceso
Como se mencionó anteriormente, a mediados de 2021 había una necesidad de grupos de ransomware que solían reclutar afiliados a través de programas de afiliados "públicos". Ahora los gruposestán volviendo a crear privados con menos afiliados pero más confiables y con la cooperación reforzada con otros actores especializados, reforzando así la profesionalización del mundo del cibercrimen. Así es como el comportamiento de las bandas de ransomware en los foros de ciberdelincuencia evolucionó hacia formas de cooperación más descentralizadas.
En 2022, los grupos de ransomware colaboran más que nunca con los agentes de acceso inicial (Initial Access Brokers - IABs). Varios foros de ciberdelincuencia, que son los más frecuentados por los actores de amenazas, ahora son un entorno muy atractivo para hacer coincidir la oferta con la demanda en el mercado de acceso inicial, en el que los actores de ransomware actúan como compradores de acceso.
La interacción entre los jugadores de ransomware y los intermediarios de acceso inicial generalmente se inicia a través de publicaciones en foros de ciberdelincuencia. Sus autores suelen ser actores de ransomware que lanzan campañas para adquirir acceso estableciendo un precio por acceso y luego aprovechándolo internamente para implementar ransomware. Una segunda opción es contratar IAB como miembros del equipo de ransomware (ya sea por un salario mensual fijo o por una parte negociada de los ingresos del grupo).
Grupos de ransomware que buscan "pentesters"
Los actores de amenazas identificados por los grupos de ransomware como "pentesters" son, de hecho, socios afiliados que llevan a cabo una fase específica del ataque.
Suelen estar a cargo del movimiento lateral y elevación de privilegios dentro del sistema de información de la víctima. La finalidad deseada de la actividad de los pentesters sería abrir una forma de implementar el ransomware, que cifrará y exfiltrará los datos de la víctima. Estos jugadores intervienen después de que ya se ha alcanzado el acceso inicial a una máquina víctima (la mayoría de las veces a través de IAB, como se explicó anteriormente).
En varios foros de ciberdelito de la dark web, observamos un número creciente de publicaciones relacionadas con "pentesting": actores de amenazas (tanto individuos como organizaciones) que brindan sus servicios, así como grupos de amenazas que buscan contratarlos. Esperamos que los "pentesters" estén aún más presentes en los foros y mercados clandestinos y que sean un punto de enlace entre las IAB y los jugadores de ransomware.
Un cambio hacia la extorsión sin cifrado
Últimamente también se ha observado un aumento de grupos que realizan ataques de robo de datos sin cifrar los sistemas con ransomware, por lo que piden a las víctimas que paguen rescates para evitar que sus datos se vendan y/o filtren en mercados especializados y/o sitios de fuga.
En contraste con la técnica de doble extorsión ampliamente aprovechada, los actores que confían en la extorsión solo para la filtración de datos (en lugar del cifrado de datos). Esperan que el robo de datos sea una razón suficiente para que las víctimas paguen, manteniendo así a los actores de la amenaza alejados de los problemas clásicos relacionados con al desarrollo de ransomware.
De hecho, muchas razones pueden hacer que los actores de amenazas cambien a este método:
- Cada vez más empresas se dan cuenta de que la copia de seguridad de los datos es absolutamente esencial. Por lo tanto, cifrar esos sistemas ahora puede tener menos impacto. Además, esta es la razón por la cual los actores de amenazas de ransomware realmente comenzaron en 2019 a filtrar los datos para agregar más presión.
- Desarrollar su propio ransomware requiere recursos humanos y técnicos específicos. Los desarrolladores y especialistas tienen que hacer que el proceso de cifrado sea eficiente pero también lo más rápido posible. Sin embargo, esto consume tiempo, energía y dinero.
- Asegurar un cifrado rápido y eficiente no garantiza que el descifrado sea efectivo y que los sistemas vuelvan a su estado inicial. De hecho, las víctimas informaron varias veces que perdieron o vieron cómo se dañaban sus datos después de pagar el rescate y aplicar la clave de descifrado. Por lo tanto, los grupos de ransomware también tienen que invertir recursos para garantizar un mecanismo de descifrado adecuado, ya que muchos de ellos valoran la importancia de su reputación global, ya que las víctimas están más dispuestas a pagar si saben que el grupo es capaz de descifrar correctamente los sistemas.
- El sistema RaaS a veces es demasiado agresivo con múltiples actores actuando juntos. En algunos casos, esto llevó a los grupos a perder la noción de las operaciones que se han realizado o se están realizando. Por lo tanto, algunas víctimas han sido atacadas y rescatadas varias veces por el mismo actor de amenazas, lo que no juega a favor de su supuesta reputación.
- Por razones y desafíos técnicos, algunas operaciones de ransomware lograron exfiltrar los datos, mientras que el proceso de cifrado no sale como se esperaba. Esto resaltó su necesidad de capitalizar el robo de datos como otra forma de pedir rescate.
- El robo de datos y su divulgación pública es un problema delicado y grave al que se enfrentan las víctimas, y los actores de amenazas están encontrando cada vez más formas de aumentar la presión para aprovechar esta preocupación (por ejemplo, llamando por teléfono o enviando correos electrónicos a los clientes de las víctimas, desfigurando sitios web, etc.).
Por lo tanto, la filtración de datos puede garantizar a los actores de amenazas el mismo beneficio que la filtración y el cifrado de los datos, al tiempo que se eliminan los desafíos del cifrado.
Por ejemplo, Industrial Spy es uno de los grupos emergentes de la primera mitad del año, que se centra principalmente en el robo de datos (aunque se ha informado de un ataque de ransomware). Los datos robados se clasifican según el interés de los compradores: cuando se anuncia la venta de datos de una empresa, se clasifica durante siete días como premium.
El actor de amenazas dice que se compromete a venderlo solo a un comprador durante este período, mientras que esta condición no se cumple después de siete días. Esta estrategia podría presionar/animar a las víctimas a comprar sus propios datos dentro de este corto período de tiempo para garantizar que sus datos se les vuelvan a vender exclusivamente. Esto también puede captar toda la atención de un competidor interesado en comprarlo en lugar de dejar que caiga en manos de otros actores de la industria.
En general, el ciberdelito en su totalidad está constantemente invirtiendo esfuerzos para renovarse implementando nuevas tácticas y técnicas para obtener un mejor beneficio de sus operaciones. Por lo tanto, cada año viene con una nueva tendencia que los defensores deben seguir de cerca para garantizar una mejor protección.
Fuente: Sekoia
Via: blog.segu-info.com.ar