Los grupos de ransomware con mayor actividad el último año

Con Ryuk, Maze, y REvil a la cabeza, repasamos cuáles fueron los grupos de ransomware qué más actividad tuvieron en 2020, los vectores de acceso más utilizados, y las nuevas estrategias que han implementado para ser más efectivos.

Con Ryuk, Maze, y REvil a la cabeza, repasamos cuáles fueron los grupos de ransomware qué más actividad tuvieron en 2020, los vectores de acceso más utilizados, y las nuevas estrategias que han implementado para ser más efectivos.

En 2020 se registró un incremento de más del 300% con respecto al año anterior en las ganancias que recibieron los grupos de ransomware a partir del pago del rescate de sus víctimas. La cifra equivale a más de 350 millones de dólares y surge del monitoreo de las transacciones realizadas en las direcciones de las billeteras utilizadas por los atacantes por parte de la firma Chainalysis. Esta cifra en 2019 no había llegado a los 100 millones. En este sentido, los grupos de ransomware qué más ganancias obtuvieron en 2020 fueron Ryuk, Maze, Doppelpaymer, Netwalker, Conti y REvil/Sodinokibi. No es casualidad entonces que algunos reportes, como el que realizó Cognyte, aseguren que las tres familias de ransomware con mayor actividad durante 2020 a nivel global fueron Ryuk, Maze y REvil/Sodinokibi.

En el caso de Maze, si bien dejó de operar a fines de octubre de 2020 cerrando su actividad con una larga lista de víctimas, según algunos especialistas tiene a su sucesor en Egregor. En cuanto a Netwalker, un ransomware que afectó a organismos gubernamentales en Argentinas o a la Universidad de San Francisco en Estados Unidos, su sitio fue dado de baja por las autoridades a fines de enero de este año.

Estos grupos de ransomware son los de mayor reputación en el mercado del Ransomware-as-a-Service (RaaS). Una reputación que obtienen con el tiempo, demostrando sus cualidades técnicas y también logrando mantenerse en actividad por un período considerable pese a estar muchas veces en el centro de atención, principalmente luego de ataques a compañías de renombre u organismos gubernamentales. Actualmente hay una gran cantidad de RaaS luchando por lograr su espacio en una escena cada vez más saturada y que sigue creciendo. En noviembre de 2020 se registraron aproximadamente 25 grupos de ransomware diferentes en actividad.

Otras familias de ransomware que vienen acumulando víctimas desde 2020 son Avaddon, Conti, Clop, DarkSide, Pysa, Ragnar o SunCrypt, por nombrar algunos. Al final de este artículo compartimos una infografía con los grupos de ransomware que más impacto tuvieron en América Latina de acuerdo a los casos que se han reportado.

Algunas noticias sobre casos de ataques de ransomware en América Latina durante 2020-2021:

Mecanismos de distribución preferidos por los grupos de ransomware

Ataques al RDP

Según una charla realizada en la conferencia RSA de febrero de 2020 por el agente del FBI, Joel DeCapua, el RDP es el primer vector utilizado para comprometer a las empresas con ransomware, siendo que más del 80% de los ataques de ransomware exitosos se llevaron adelante logrando vulnerar la red mediante ataques de fuerza bruta a las credenciales del RDP para luego en determinado momento ejecutar el ransomware. Y esto fue mencionado antes de la pandemia y del vuelco hacia el trabajo remoto. Con el diario del lunes sabemos que durante el 2020 los ataques al RDP crecieron 768% entre el primer y último trimestre de 2020. Tal como explicaron los especialistas de ESET en una de las ediciones del Threat Report de 2020, Revil/Sodinokibi es uno de los tantos ransomware que se han enfocado en aprovechar los accesos remotos mal protegidos.

Explotación de vulnerabilidades

Más allá de la explotación del RDP y los accesos remotos para comprometer las redes corporativas, este no ha sido el único vector de ataque utilizado por los grupos de ransomware. Revil, Ragnaron, Clop, DopplePaymer, Maze o Nephilim, por ejemplo, son algunos de los grupos que abusaron de vulnerabilidades en herramientas o tecnologías utilizadas para el acceso remoto a redes de Windows, principalmente vulnerabilidades en productos de Citrix o de Pulse Secure.

Si bien muchas de estas familias no utilizan un único método de distribución (depende de los afiliados), todas tienen en común la explotación de la CVE-2019-19781 en sistemas de Citrix. Por otra parte, la CVE-2019-11510 en sistemas de Pulse Secure ha sido aprovechada por Revil y Blackingdom. Es importante mencionar que ambas vulnerabilidades fueron parcheadas hace ya bastante tiempo.

En el caso de la vulnerabilidad en los productos de Pulse Secure, la misma permite a los atacantes acceder de manera remota a redes apuntadas, eliminar mecanismos de protección del tipo multifactor de autenticación y acceder a los registros que contienen contraseñas almacenadas en texto plano. En cuanto a la vulnerabilidad en aplicaciones de acceso remoto de Citrix, de ser explotada permite al atacante conectarse remotamente y ejecutar código arbitrario en la computadora comprometida.

Uno de los ataques en los que se explotó la CVE-2019-19781 afectó a un hospital en Alemania y acaparó la atención de algunos medios debido a que como consecuencia del ataque murió un paciente al tener que ser trasladado a otro centro de salud.

Mediante campañas de malware que distribuyen ransomware

Otros mecanismos utilizados para la distribución de ransomware, aunque en menor medida, es mediante botnets o la descarga de otros malware que son los que logran la infección inicial, como es el caso de Emotet.  Este popular troyano suele descargar en los equipos comprometidos los troyanos QakBot y Trickbot, los cuales han sido utilizados para descargar luego los ransomware Ryuk y Conti. Esto también explica en parte por qué es muchas veces difícil tener datos sobre las detecciones de los ataques que realizan estos grupos.

Nuevas estrategias que han implementado para mejorar su efectividad

Algo que mencionábamos en Tendencias 2021 en ciberseguridad es que el ransomware como amenaza ha evolucionado. Los ataques masivos no son la estrategia principal, sino ataques cada vez más dirigidos en busca de víctimas dispuestas a pagar rescates más altos y utilizando mecanismos más sofisticados En este sentido, las bandas de ransomware incorporaron nuevas estrategias para conseguir esto.

El robo de información sensible previo al cifrado para luego extorsionar a la víctima con la filtración de información fue, por ejemplo, una práctica que se vio por primera vez con el ransomware Maze a finales de 2019, pero inspiró a otros grupos de ransomware que adoptaron esta estrategia temprano en 2020, como fue el caso de Sodinokibi, DoppelPaymer, RobinHood o Nemty. Hoy en día, la gran mayoría de estas bandas cuenta con un sitio web en el que publican los nombres de sus nuevas víctimas y filtran la información robada en caso de que la víctima no quiera pagar el rescate.

Pero además de esta práctica extorsiva, otros como Suncrypt o Avaddon (una familia muy activa en lo que va de 2021) comenzaron también a implementar los ataques de DDoS a los sitios de sus víctimas para convencerlos de la necesidad de pagar.

Por si fuera poco, otra de las estrategias que han estado implementando los cibercriminales son las llamadas en frío, en las cuales los criminales llaman telefónicamente a sus víctimas en caso de utilizar las copias de seguridad o backup. Algunos de los grupos que han utilizado esta estrategia durante 2020 fueron Maze, Conti y Ryuk, entre otros.

Sectores más afectados por los ataques de ransomware

En cuanto a los sectores a los que más han apuntado los ataques de ransomware en el último tiempo, según un reporte de Cognyte, sectores como tecnología, organismos gubernamentales e infraestructuras críticas han sido los principales blancos, seguidos por el sector de la salud, transporte, manufactura, servicios financieros y educación.

Uno de los ataques de ransomware más importantes a nivel global se registró en septiembre de 2020 y estuvo dirigido a la Universal Health Services, una de las cadenas de hospitales más grandes de los Estados Unidos. El ataque del ransomware Ryuk afectó a cientos de sus sedes e interrumpió el funcionamiento de los sistemas informáticos, servicios telefónicos, Internet y los data centers. Según NBC, fue probablemente el ciberataque al sector de la salud más grande en la historia de los Estados Unidos.

Lectura recomendada: Ataques de ransomware continúan afectando al sector de la salud en varios países 

Conclusión

En 2020 se vio un importante incremento de los ataques de ransomware y el uso de mecanismos extorsivos que rápidamente fueron adoptados por otros grupos criminales, como la filtración de información robada, las llamadas en frío o el lanzamiento de ataques de DDoS al sitio de la organización víctima en caso de no querer negociar el pago del rescate.

Según los especialistas de ESET, estas tendencias junto con el incremento de los montos solicitados para el pago del rescate son de esperarse que mantenga a lo largo de 2021, y por lo visto en estos tres primeros meses así parece que será.

La rentabilidad del modelo del ransomware-as-a-service junto con el incremento del valor del bitcoin son un gran atractivo para criminales sin conocimientos técnicos que ven en estos modelos la oportunidad de obtener ganancias financieras. Solo resta saber cuál será el ransomware qué más dará que hablar este año.

A continuación, compartimos la siguiente infografía con las variantes de ransomware qué más incidentes registraron en 2020 en América Latina y algunas de sus principales características.

 

 

Newsletter

Discusión