El ransomware se ha convertido en una de las amenazas más insidiosas en los últimos años, con actores que amplían sus operaciones hasta el punto de que la demanda promedio de rescate aumentó más de 10 veces en un año.
Hay más de una docena de operadores en el juego de ransomware como servicio (RaaS), cada uno con una gran cantidad de afiliados que se centran en objetivos empresariales en todo el mundo.
Dado que el infame grupo GandCrab lo dejó a mediados de 2019, el panorama del ransomware cambió drásticamente. El modelo RaaS que introdujeron ahora es la norma, allanando el camino para los atacantes profesionales con una estrategia clara para ganar dinero.
Enormes saltos en la demanda de rescate
La evolución año tras año de la amenaza del ransomware es visible en términos de la demanda de rescate, así como de las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes que ejecutan operaciones de ransomware de grandes juegos.
En un informe de hoy, la compañía de seguridad cibernética Group-IB analizó cómo esta amenaza cambió en solo un año desde 2018. Adoptaron una amplia gama de vectores de acceso inicial, aumentaron sus demandas de rescate y comenzaron a robar archivos de las víctimas antes del cifrado para un mayor aprovechamiento para forzar un pago.
Según el informe, los ataques de ransomware en 2019 aumentaron en un 40% y el enfoque en objetivos más grandes llevó el precio del rescate de $ 6,000 a $ 84,000, dos de las familias más codiciosas fueron Ryuk y REvil (Sodin, Sodinokibi).
Sin embargo, en 2020, el precio ha aumentado aún más. Los datos de Coveware , una compañía que maneja incidentes de ransomware, muestran que el promedio aumentó aún más en el primer trimestre del año, a $ 111,605. Ryuk y REvil continúan siendo responsables de este aumento en el rescate promedio.
Tácticas, técnicas y procedimientos.
Entre las técnicas de intrusión más comunes que la compañía con sede en Singapur observó en los compromisos de respuesta a incidentes, el compromiso de conducir a través de kits de exploits (EK), servicios remotos externos (principalmente RDP) y spear phishing estuvieron en la parte superior de la lista.
En la conferencia de seguridad de RSA en febrero, el FBI también declaró que RDP es el método más común que los actores de ransomware usan para acceder a la red de víctimas.
"RDP sigue siendo el 70-80% del punto de apoyo inicial que utilizan los actores de ransomware", dijo el agente especial del FBI Joel DeCapua.
Los actores de ransomware más avanzados se basaron en métodos que les dieron acceso a objetivos más valiosos: compromiso de la cadena de suministro, explotación de vulnerabilidades no parcheadas en aplicaciones públicas o compromiso de los proveedores de servicios gestionados (MSP).
A partir de ahí, los atacantes desplegaron sus herramientas y pasaron a las siguientes etapas estableciendo persistencia, escalando privilegios (si es necesario), evadiendo defensas, adquiriendo credenciales, mapeando la red, moviéndose a hosts valiosos, robando archivos y luego encriptándolos.
El documento técnico de Group-IB detalla que incluso los jugadores de grandes ligas como Ryuk, LockerGoga, REvil, MegaCortex, Maze o Netwalker usaron métodos de intrusión comunes como RDP simplemente porque el acceso a los servidores con un puerto abierto era fácil de obtener de los mercados.
El phishing también se usa regularmente para obtener acceso inicial a la red de una empresa. Normalmente, las redes que distribuyen correos electrónicos maliciosos como Emotet, Trickbot (Ryuk) o QakBot ( ProLock , MegaCortex) se utilizan para acceder a la red de destino.
Los actores avanzados extendieron sus tácticas para explotar errores en WebLogic Server (CVE-2019-2725) o Pulse Secure VPN (CVE-2019-11510); Esto se vio en los ataques REvil.
Sin embargo, recientemente, al menos un actor de ransomware está llevando su operación a otro nivel. El grupo de ransomware NetWalker comenzó a buscar afiliados con acceso a la red para grandes empresas.
Robar> cifrar> filtrar
Si bien las técnicas de intrusión no han cambiado mucho desde 2019, la lista de operadores de ransomware ha crecido abruptamente y algunos de ellos cambiaron a nuevos nombres:
- JSWorm se convirtió en Nemty en agosto de 2019
- Mailto se convirtió en Netwalker en febrero de 2020
- Cryakl ahora es CryLock
- PwndLcker cambió de nombre a ProLock en marzo de 2020
Incluso más de ellos comenzaron a filtrar archivos robados de las víctimas a menos que obtuvieran su rescate. Maze comenzó esta tendencia en noviembre de 2019, cuando publicaron datos de Allied Universal.
Por el momento, 12 operadores de ransomware tienen sitios de filtraciones donde publican datos robados de las víctimas, mientras que otros usan foros de hackers para compartir enlaces de descarga.
Algunos de los rescates exigidos por los atacantes tienen proporciones alucinantes. REvil, por ejemplo, solicitó $ 21 millones a una víctima o publicarían datos sobre los clientes de la compañía, la mayoría de los cuales son grandes nombres en la industria del entretenimiento.
Ako ransomware, otro actor que también roba datos de víctimas, encontró una manera de aumentar sus ganancias al solicitar dos rescates : uno para descifrar los archivos y otro para no publicar los archivos robados.
Las demandas de rescate de $ 1 millón y más ya no son infrecuentes ya que los actores de amenazas ajustan sus precios de acuerdo con los ingresos de la organización comprometida y la cantidad de computadoras bloqueadas.
El año pasado fue muy rentable para los actores de ransomware, pero con los precios que hemos visto recientemente, es probable que 2020 lo supere a medida que los actores continúen apuntando a grandes empresas en industrias clave. Simplemente debe guiar a sus usuarios a través de la capacitación de conciencia de seguridad de la nueva escuela como una capa crítica para evitar daños como este.
0 Comentarios