Expertos de Kaspersky analizan las últimas tendencias adoptadas por los grupos de ransomware y comparte cómo contrarrestarlos.
Por Revista Summa
Las operaciones de ransomware han recorrido un largo camino– desde inicios un tanto clandestinos y de aficionados hasta negocios completos con marcas y estilos distintivos que rivalizan entre sí en la dark web. En general, los grupos de ransomware continúan desarrollándose y teniendo éxito a pesar del desmantelamiento de algunas de las pandillas más notorias. Los delincuentes detrás de esta amenaza encuentran formas inusuales de atacar a sus víctimas o recurren a acaparar los titulares noticiosos para que sus ataques sean más relevantes. Los expertos de Kaspersky siempre están monitoreando las actividades de estos grupos y, para conmemorar el Día Anti-Ransomware este 12 de mayo, han publicado un informe que analiza las nuevas tendencias de ransomware detectadas en 2022.
La primera tendencia a destacar es el uso prolífico de capacidades multiplataforma. Últimamente, su objetivo es dañar el mayor número de sistemas posible con un mismo malware desarrollando código que se pueda ejecutar en varios sistemas operativos a la vez. Conti, uno de los grupos de ransomware más activos, ha desarrollado una variante que se distribuye a través de afiliados seleccionados y se dirige a Linux. A fines de 2021, Rust y Golang, lenguajes de programación multiplataforma, se generalizaron más. BlackCat, una pandilla de malware autoproclamada de «próxima generación» que, según reportes, ha atacado a más de 60 organizaciones desde diciembre de 2021, desarrolló su malware en Rust. Golang fue utilizado en ransomware por DeadBolt, un grupo infame por sus ataques a QNAP.
Además, a finales de 2021 y principios de 2022, los grupos de ransomware continuaron sus actividades para facilitar sus procesos de negocio, incluido el cambio de marca regular para desviar la atención de las autoridades y la actualización de las herramientas de exfiltración. Algunos grupos desarrollaron e implementaron kits de herramientas completos que se parecían a los de compañías de software benignas. Lockbit se destaca como un ejemplo notable de la evolución de una banda de ransomware. La organización cuenta con una serie de mejoras en comparación con sus rivales, incluidas actualizaciones periódicas y reparaciones de su infraestructura. También presentó por primera vez StealBIT, una herramienta personalizada de exfiltración de ransomware que permite la exfiltración de datos a velocidades nunca antes vistas, una señal del arduo trabajo del grupo para acelerar los procesos de malware.
La tercera tendencia de la que han sido testigos los expertos de Kaspersky es el resultado de la situación geopolítica, en referencia al conflicto en Ucrania, que ha tenido un gran impacto en el panorama del ransomware. Aunque estos ataques suelen estar asociados con actores de amenazas persistentes avanzadas (APT), Kaspersky ha detectado varias actividades importantes en foros dedicados al cibercrimen y acciones de grupos de ransomware en respuesta a la situación. Poco después de que comenzara el conflicto, los grupos de ransomware tomaron partido, lo que condujo a ataques por motivos políticos por parte de algunas bandas de ransomware en apoyo de Rusia o Ucrania. Uno de los programas maliciosos que se descubrió recientemente durante el conflicto es el Freeud, desarrollado por los partidarios de Ucrania. Freeud cuenta con funcionalidad de borrado. Si el malware contiene una lista de archivos, en lugar de cifrarlos, los borra del sistema.
“Si el año pasado dijimos que el ransomware estaba floreciendo, este año está en apogeo. Aunque los principales grupos de ransomware del año pasado se vieron obligados a abandonar sus actividades, han aparecido nuevos actores con técnicas nunca antes vistas”, comenta Dmitry Galov, investigador sénior de seguridad del Equipo de análisis e investigación global de Kaspersky. “Sin embargo, a medida que las amenazas de ransomware evolucionan y se expanden, tanto tecnológica como geográficamente, se vuelven más predecibles, lo que nos ayuda a detectarlas y defendernos mejor de ellas”.
Este 12 de mayo se celebra el Día Anti-Ransomware y Kaspersky alienta a las organizaciones a seguir las siguientes mejores prácticas para protegerse contra el ransomware:
· Mantenga siempre el software actualizado en todos los dispositivos que utiliza para evitar que los atacantes aprovechen las vulnerabilidades e infiltren su red.
· Enfoque su estrategia de defensa en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes a su red. Configure copias de seguridad fuera de línea que intrusos no puedan manipular. Asegúrese de poder acceder a ellos rápidamente cuando sea necesario o en caso de emergencia.
· Habilite la protección contra ransomware para todos los endpoints. La herramienta Kaspersky Anti-Ransomware Tool for Business es gratuita y protege las computadoras y los servidores del ransomware así como de otros tipos de malware, evita las vulnerabilidades y es compatible con otras soluciones de seguridad ya instaladas.
· Instale soluciones anti-APT y EDR, habilitando capacidades para el descubrimiento y detección de amenazas avanzadas, investigación y remediación oportuna de incidentes. Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente y mejore sus habilidades regularmente a través de capacitaciones profesionales. Todo lo anteriormente mencionado está disponible como parte de Kaspersky Expert Security framework.
· Proporcione a su equipo de SOC acceso a la inteligencia de amenazas (TI) más reciente. El Kaspersky Threat Intelligence Portal es el único punto de acceso para la inteligencia de amenazas de Kaspersky y proporciona información y datos sobre ciberataques recopilados por nuestro equipo durante más de 20 años.