Ladrón en la era digital: quiénes son los líderes del mundo del cibercrimen

En los últimos meses, una serie de ataques masivos de ransomware ha tenido un impacto significativo en varios sectores de la economía, desde hospitales hasta aeropuertos. A la luz de estos eventos, los especialistas de Cisco Talos llevaron a cabo un análisis exhaustivo de los líderes actuales entre los grupos de ransomware para comprender el estado actual de las amenazas.

El estudio de Cisco Talos cubre el período de 2023 a 2024 y se basa en el análisis de 14 grupos de ransomware. La muestra incluye grupos que se destacaron por la magnitud de sus ataques, el impacto en los clientes y comportamientos atípicos. Las fuentes de datos incluyeron filtraciones públicas, investigaciones internas e informes abiertos. La lista incluye grupos conocidos como LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal, Rhysida, Hunters International, Akira y Trigona.

Entre todos los grupos, AlphV/Blackcat y Rhysida se destacan especialmente por el amplio espectro de tácticas utilizadas. Al mismo tiempo, los grupos BlackBasta, LockBit y Rhysida no solo cifran datos, sino que también dañan los sistemas de las víctimas para intensificar el efecto del ataque. El grupo Clop, a diferencia de otros, se centra en la extorsión mediante el robo de datos en lugar del cifrado.

La cadena típica de ataques comienza con la obtención de acceso inicial mediante ingeniería social, escaneo de redes e investigación de fuentes abiertas. Luego, los ciberdelincuentes aseguran el acceso a largo plazo utilizando mecanismos automatizados para mantener la presencia en la red. Después de establecer un acceso sostenible, los extorsionadores analizan el entorno objetivo, elevan sus privilegios y preparan los datos para el robo o el cifrado.

En la etapa final, los atacantes lanzan el programa de ransomware y notifican a la víctima sobre el ataque. Si el objetivo es solo la extorsión mediante el robo de datos, se omite esta etapa.

Recientemente, ha habido un aumento en el número de ataques que utilizan vulnerabilidades conocidas para la infiltración. Por ejemplo, las vulnerabilidades CVE-2020-1472 (Zerologon), CVE-2018-13379 (Fortinet FortiOS SSL VPN) y CVE-2023-0669 (GoAnywhere MFT) se explotan regularmente para obtener acceso inicial y elevar privilegios.

Con el cambio hacia la táctica de doble extorsión, donde los atacantes no solo cifran datos, sino que también los roban, algunos grupos más maduros que ofrecen ransomware como servicio (RaaS) han comenzado a desarrollar malware personalizado para el robo de datos. Por ejemplo, los grupos BlackByte y LockBit han creado sus propias herramientas para la exfiltración de datos.

Durante el análisis, también se observó una tendencia al uso de herramientas comerciales legítimas para la gestión y el monitoreo, como AnyDesk y ScreenConnect. El uso de estos programas permite a los atacantes mezclarse con el tráfico corporativo y reducir los costos de desarrollo de herramientas propias.

Otra tendencia notable es el empleo de tácticas de evasión de la defensa para aumentar el tiempo de permanencia en la red de la víctima. Los atacantes utilizan herramientas para desactivar o modificar programas antivirus, así como funciones del sistema operativo diseñadas para detectar cargas maliciosas.

Recientemente, también se ha observado un aumento en el uso de info-stealers entre los grupos de ransomware. Los brokers de acceso inicial (IAB) suelen utilizar los stealer para recopilar credenciales e información personal de las víctimas, lo que facilita el acceso inicial a los sistemas.

Durante el período considerado, se observaron numerosos ataques, especialmente dirigidos a Estados Unidos. Sectores como la manufactura y la tecnología de la información fueron particularmente afectados. Los ataques causaron pérdidas financieras significativas y interrupciones en las operaciones de las empresas.

Para protegerse contra estas amenazas, Cisco Talos recomienda:

• Gestión y actualización regular de parches;
• Implementación de políticas estrictas de contraseñas y autenticación multifactor;
• Fortalecimiento de sistemas y entornos, minimizando las superficies de ataque;
• Segmentación de red y autenticación de dispositivos antes de otorgar acceso;
• Implementación de sistemas de monitoreo y respuesta a incidentes (SIEM y EDR/XDR);
• Principio de privilegios mínimos para usuarios y sistemas;
• Minimización de sistemas IT accesibles desde internet.

Estas medidas ayudarán a reducir el riesgo de intrusión y proteger a las organizaciones de las graves consecuencias de los ataques de ransomware.