El Ascenso de los Grupos de Ransomware: Un Análisis de Cisco Talos y Medidas de Protección

En los últimos meses, una serie de ataques de ransomware a gran escala han tenido un impacto significativo en varios sectores de la economía, desde hospitales hasta aeropuertos. A la luz de estos desarrollos, Cisco Talos realizó un análisis exhaustivo de los líderes actuales entre los grupos de ransomware para comprender el estado actual de la amenaza.

El estudio de Cisco Talos cubre el período de 2023 a 2024 y se basa en un análisis de 14 grupos de ransomware. La muestra incluyó grupos que se distinguían por la escala de sus ataques, su impacto en los clientes y su comportamiento atípico. Las fuentes de datos incluyeron tanto filtraciones públicas como investigaciones internas e informes abiertos. La lista incluye grupos tan conocidos como LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal, Rhysida, Hunters International, Akira y Trigona.

Entre todos los grupos, AlphV/Blackcat y Rhysida destacan especialmente por la amplia gama de tácticas utilizadas. Al mismo tiempo, los grupos BlackBasta, LockBit y Rhysida no sólo cifran datos, sino que también dañan los sistemas de las víctimas para aumentar el efecto del ataque. El grupo Clop, a diferencia de otros, se centra en la extorsión mediante el robo de datos en lugar del cifrado.

Una cadena de ataque típica comienza con la obtención de acceso inicial mediante ingeniería social, escaneo de redes e investigación de código abierto. Luego, los ciberdelincuentes garantizan el acceso a largo plazo mediante el uso de mecanismos automatizados para mantener una presencia en línea. Una vez que se establece un acceso estable, el ransomware analiza el entorno de destino, aumenta sus privilegios y prepara los datos para el robo o el cifrado.

En la etapa final, los atacantes lanzan ransomware y notifican a la víctima sobre el ataque. Si el objetivo es extorsionar únicamente mediante el robo de datos, entonces se omite este paso.

Recientemente, ha habido un aumento en el número de ataques que aprovechan vulnerabilidades conocidas para penetrar. Por ejemplo, CVE-2020-1472 (Zerologon), CVE-2018-13379 (Fortinet FortiOS SSL VPN) y CVE-2023-0669 (GoAnywhere MFT) se explotan periódicamente para obtener acceso inicial y escalar privilegios.

Con el cambio a tácticas de extorsión dual, donde los atacantes no solo cifran datos sino que también los roban, algunos grupos de ransomware como servicio (RaaS) más maduros han comenzado a desarrollar malware personalizado para robar datos. Por ejemplo, los grupos BlackByte y LockBit han creado sus propias herramientas de filtración de datos.

El análisis también detectó una tendencia hacia el uso de herramientas legítimas de gestión y seguimiento comercial, como AnyDesk y ScreenConnect. El uso de estos programas permite a los atacantes mezclarse con el tráfico corporativo y reducir el costo de desarrollar sus propias herramientas.

Otra tendencia notable es el uso de tácticas de elusión de seguridad para aumentar el tiempo que una víctima permanece en la red. Los atacantes utilizan herramientas para desactivar o modificar programas antivirus, así como funciones del sistema operativo diseñadas para detectar cargas maliciosas.

Recientemente, también ha habido un aumento en el uso de ladrones de información entre los grupos de ransomware. Los intermediarios de acceso inicial (IAB) suelen utilizar ladrones para recopilar las credenciales y la información personal de las víctimas, lo que facilita el compromiso inicial de los sistemas.

Durante el período que se examina se observaron numerosos ataques, especialmente contra los Estados Unidos. Industrias como la manufactura y las tecnologías de la información han sido atacadas. Los ataques provocaron importantes pérdidas financieras y perturbaciones comerciales.

Para protegerse contra tales amenazas, Cisco Talos recomienda:

1. Gestión periódica de parches y actualizaciones: Mantener los sistemas actualizados para cerrar vulnerabilidades conocidas.
2. Implementación de políticas estrictas de contraseñas y autenticación multifactor: Asegurar que solo usuarios autorizados accedan a sistemas críticos.
3. Fortalecer sistemas y entornos, minimizando las superficies abiertas al ataque: Reducir los puntos de entrada para atacantes.
4. Segmentación de red y autenticación de dispositivos antes de otorgar acceso: Limitar la propagación de ataques dentro de la red.
5. Implantación de sistemas de seguimiento y respuesta a incidentes (SIEM y EDR/XDR): Monitorear y responder rápidamente a actividades sospechosas.
6. Principio de privilegio mínimo para usuarios y sistemas: Asegurar que los usuarios tengan solo los accesos necesarios para sus tareas.
7. Minimización de los sistemas informáticos accesibles desde Internet: Reducir la exposición a ataques externos.

Estas medidas ayudarán a reducir el riesgo de piratería y protegerán a las organizaciones de las graves consecuencias de los ataques de ransomware.

#cybersecurity ?️ #ransomware ? #infosec ? #CiscoTalos ? #dataprotection ?️ #threatanalysis ?️ #networksecurity ? #ITsecurity ?️ #malwaredetection ? #digitaldefense ?️