15 de noviembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

Ransomware DIY: código estándar, herramienta para el éxito de los ciberdelincuentes novatos

El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha publicado un informe, ‘Cómo las variantes de ransomware “profesionales” impulsan a los grupos de ciberdelincuentes’, en el que se describen los recientes ataques de ransomware con el uso de código filtrado. Esta investigación arroja luz sobre las herramientas y métodos utilizados tanto por grupos organizados de ransomware como por atacantes individuales.

Los grupos organizados de ciberdelincuentes tienen a su disposición una gama de herramientas y modelos y disponer de variantes de ransomware propias, mientras que los delincuentes independientes suelen recurrir a variantes DIY filtradas para lanzar sus ataques. Las últimas investigaciones de Kaspersky revelan que los ataques de ransomware más recientes utilizan los códigos fuente filtrados, lo que permite a los actores de amenazas buscar víctimas y propagar actividades maliciosas con rapidez.

En abril de este año, el grupo SEXi lanzó un ataque de ransomware contra IxMetro, utilizando una variante recién identificada llamada SEXi. Este grupo tiene como objetivo las aplicaciones ESXi, se distingue por utilizar diferentes variantes de ransomware para distintas plataformas: Babuk para Linux y Lockbit para Windows. De forma excepcional, emplean la aplicación de comunicación Session para contactar, utilizando un ID de usuario universal en múltiples ataques. Esta falta de profesionalidad y la ausencia de un sitio de filtraciones basado en TOR los distinguen aún más.

El grupo Key, también conocido como keygroup777, ha utilizado ocho familias de ransomware diferentes desde su creación en abril de 2022. Sus técnicas y mecanismos de persistencia han evolucionado con cada nueva variante. La variante UX-Cryptor, por ejemplo, emplea múltiples entradas de registro para la conservación, mientras que la variante Chaos utiliza un enfoque diferente que implica la carpeta de inicio. A pesar de sus diversos métodos, el grupo Key destaca por sus actividades poco profesionales, incluido el uso de un repositorio público de GitHub para la comunicación C2 y Telegram para la interacción, lo que facilita su seguimiento.

Mallox, una variante de ransomware menos conocida, apareció por primera vez en 2021 y comenzó su programa de afiliados en 2022. A diferencia de SEXi y el grupo Key, los autores de Mallox afirman haber comprado el código fuente. Este grupo colabora exclusivamente con afiliados de habla ruso y se dirige a empresas con ingresos superiores a 10 millones de dólares, evitando hospitales e instituciones educativas. Los afiliados de Mallox, rastreados a través de identificadores únicos, contribuyeron a importantes picos de actividad en 2023.

“La dificultad de acceso para lanzar ataques de ransomware ha caído en picado. Con ransomware comercial y programas de afiliación, incluso los ciberdelincuentes novatos pueden suponer una amenaza significativa”, comenta Jornt van der Wiel, analista senior de ciberseguridad en el GReAT de Kaspersky.

Aunque los grupos que utilizan variantes filtradas no muestren altos niveles de profesionalidad, su eficacia reside en el éxito de sus esquemas de afiliación o en la orientación a nichos específicos, como demostraron el grupo Key y SEXi. Por tanto, la publicación y filtración de variantes de ransomware plantean amenazas importantes tanto para las organizaciones como para los particulares. Para mantener tus datos protegidos del ransomware, Kaspersky recomienda:

  • Proporciona a los empleados formación básica sobre higiene en ciberseguridad. Es importante realizar un ataque de phishing simulado para asegurarse de que los trabajadores saben distinguir los correos electrónicos de phishing.
  • Utiliza soluciones de protección para servidores de correo con funciones antiphishing, para disminuir las posibilidades de infección a través de un correo electrónico de phishing. Kaspersky Security for Mail Server evita que los empleados y empresa sean estafados mediante engaños de ingeniería social.
  • Emplea una solución de protección para endpoints y servidores de correo con funciones antiphishing, como Kaspersky Endpoint Security for Business, para disminuir la posibilidad de infección a través de un correo electrónico de phishing.
  • Si utilizas el servicio en la nube Microsoft 365, no olvides protegerlo también. Kaspersky Security para Microsoft Office 365 tiene un antispam y antiphishing dedicado, así como protección para las aplicaciones SharePoint, Teams y OneDrive para comunicaciones empresariales seguras.
  • Cuenta con soluciones fáciles de gestionar, pero eficaces, como Kaspersky Small Office Security. Ayuda a evitar el bloqueo del ordenador debido a correos electrónicos de phishing o archivos adjuntos maliciosos.
  • Encuentra una solución enfocada en pequeñas y medianas empresas con una gestión sencilla y funciones de protección probadas; como Kaspersky Endpoint Security Cloud. File Threat Protection, Mail Threat Protection, Network Threat Protection y Web Threat Protection dentro del producto incluyen tecnologías que protegen a los usuarios de malware, phishing y otros tipos de amenazas.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los lectores opinan

¿Cuál es el mayor desafío para abordar la salud mental en el entorno laboral?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital