El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha publicado un informe, ‘Cómo las variantes de ransomware “profesionales” impulsan a los grupos de ciberdelincuentes’, en el que se describen los recientes ataques de ransomware con el uso de código filtrado. Esta investigación arroja luz sobre las herramientas y métodos utilizados tanto por grupos organizados de ransomware como por atacantes individuales.
Los grupos organizados de ciberdelincuentes tienen a su disposición una gama de herramientas y modelos y disponer de variantes de ransomware propias, mientras que los delincuentes independientes suelen recurrir a variantes DIY filtradas para lanzar sus ataques. Las últimas investigaciones de Kaspersky revelan que los ataques de ransomware más recientes utilizan los códigos fuente filtrados, lo que permite a los actores de amenazas buscar víctimas y propagar actividades maliciosas con rapidez.
En abril de este año, el grupo SEXi lanzó un ataque de ransomware contra IxMetro, utilizando una variante recién identificada llamada SEXi. Este grupo tiene como objetivo las aplicaciones ESXi, se distingue por utilizar diferentes variantes de ransomware para distintas plataformas: Babuk para Linux y Lockbit para Windows. De forma excepcional, emplean la aplicación de comunicación Session para contactar, utilizando un ID de usuario universal en múltiples ataques. Esta falta de profesionalidad y la ausencia de un sitio de filtraciones basado en TOR los distinguen aún más.
El grupo Key, también conocido como keygroup777, ha utilizado ocho familias de ransomware diferentes desde su creación en abril de 2022. Sus técnicas y mecanismos de persistencia han evolucionado con cada nueva variante. La variante UX-Cryptor, por ejemplo, emplea múltiples entradas de registro para la conservación, mientras que la variante Chaos utiliza un enfoque diferente que implica la carpeta de inicio. A pesar de sus diversos métodos, el grupo Key destaca por sus actividades poco profesionales, incluido el uso de un repositorio público de GitHub para la comunicación C2 y Telegram para la interacción, lo que facilita su seguimiento.
Mallox, una variante de ransomware menos conocida, apareció por primera vez en 2021 y comenzó su programa de afiliados en 2022. A diferencia de SEXi y el grupo Key, los autores de Mallox afirman haber comprado el código fuente. Este grupo colabora exclusivamente con afiliados de habla ruso y se dirige a empresas con ingresos superiores a 10 millones de dólares, evitando hospitales e instituciones educativas. Los afiliados de Mallox, rastreados a través de identificadores únicos, contribuyeron a importantes picos de actividad en 2023.
“La dificultad de acceso para lanzar ataques de ransomware ha caído en picado. Con ransomware comercial y programas de afiliación, incluso los ciberdelincuentes novatos pueden suponer una amenaza significativa”, comenta Jornt van der Wiel, analista senior de ciberseguridad en el GReAT de Kaspersky.
Aunque los grupos que utilizan variantes filtradas no muestren altos niveles de profesionalidad, su eficacia reside en el éxito de sus esquemas de afiliación o en la orientación a nichos específicos, como demostraron el grupo Key y SEXi. Por tanto, la publicación y filtración de variantes de ransomware plantean amenazas importantes tanto para las organizaciones como para los particulares. Para mantener tus datos protegidos del ransomware, Kaspersky recomienda:
- Proporciona a los empleados formación básica sobre higiene en ciberseguridad. Es importante realizar un ataque de phishing simulado para asegurarse de que los trabajadores saben distinguir los correos electrónicos de phishing.
- Utiliza soluciones de protección para servidores de correo con funciones antiphishing, para disminuir las posibilidades de infección a través de un correo electrónico de phishing. Kaspersky Security for Mail Server evita que los empleados y empresa sean estafados mediante engaños de ingeniería social.
- Emplea una solución de protección para endpoints y servidores de correo con funciones antiphishing, como Kaspersky Endpoint Security for Business, para disminuir la posibilidad de infección a través de un correo electrónico de phishing.
- Si utilizas el servicio en la nube Microsoft 365, no olvides protegerlo también. Kaspersky Security para Microsoft Office 365 tiene un antispam y antiphishing dedicado, así como protección para las aplicaciones SharePoint, Teams y OneDrive para comunicaciones empresariales seguras.
- Cuenta con soluciones fáciles de gestionar, pero eficaces, como Kaspersky Small Office Security. Ayuda a evitar el bloqueo del ordenador debido a correos electrónicos de phishing o archivos adjuntos maliciosos.
- Encuentra una solución enfocada en pequeñas y medianas empresas con una gestión sencilla y funciones de protección probadas; como Kaspersky Endpoint Security Cloud. File Threat Protection, Mail Threat Protection, Network Threat Protection y Web Threat Protection dentro del producto incluyen tecnologías que protegen a los usuarios de malware, phishing y otros tipos de amenazas.