Sin dudas que el ransomware ha dado que hablar este 2021 y se ha convertido en la amenaza informática qué más preocupación genera a nivel global, tanto a empresas de todas las industrias como a organismos públicos. El dinero recaudado por estas bandas criminales sigue en acenso y los montos demandados por los rescates también, lo que demuestra que continúa siendo un negocio redituable y atractivo para los cibercriminales.
Según datos revelados por la oficina de Control de Crímenes Financieros (FinCEN) de los Estados Unidos, solo en este país, entre enero y junio de este año el promedio mensual de transacciones en Bitcoin que se sospecha están relacionadas con el ransomware es de 66.4 millones de dólares. Solo en el ataque a Kaseya, los operadores detrás del ransomware REvil demandaron un pago de 70 millones de dólares por la herramienta de descifrado para que las víctimas pudieran recuperar los archivos secuestrados.
La cantidad de ataques de ransomware casi se duplicó en 2021. Hasta el mes de noviembre se habían registrado más de 2300 organizaciones víctimas cuyos nombres fueron publicados en sitios de la Dark web controlados por los atacantes, mientras que en 2020 se registraron cerca de 1300 organizaciones víctimas, informó DarkTracer.
Algunas de las bandas detrás de estos códigos maliciosos concentran la mayor cantidad de víctimas y generalmente son las que gozan de una mayor reputación, lo cual les permite demandar elevadas sumas de dinero que vemos en los titulares de los medios. Sin embargo, la realidad indica también que existen muchos otros grupos de ransomware que también operan bajo el modelo de ransomware-as a-service (RaaS), que tienen menor actividad y reputación, pero que también conforman la escena bastante saturada del ransomware en la actualidad. Teniendo en cuenta la heterogeneidad de estos grupos en cuanto a cantidad de víctimas, número de afiliados, reputación y demás, según datos de Coveware correspondientes al tercer trimestre de 2021, el monto promedio que las víctimas pagan por un ataque de ransomware es de 139.739 dólares.
Lecturas recomendadas:
Ransomware: qué es y cómo funciona
Ransomware: ¿Pagar o no pagar? ¿Es legal o ilegal?
Ataques de ransomware qué más repercusión tuvieron en 2021
En 2020 los ataques dirigidos de ransomware crecieron exponencialmente, así como la cantidad de grupos de ransomware en actividad, los montos solicitados y las ganancias que percibieron estas bandas criminales por los pagos de los rescates. Pero en 2021, además de continuar en esta curva ascendente en la cantidad de grupos, montos solicitados y ganancias, se registraron ataques a infraestructuras críticas que tuvieron gran repercusión.
Lectura relacionada: Grupos de ransomware están apuntando a plantas de tratamiento de agua
Hablamos, por ejemplo, del ataque a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, que sufrió un ataque del ransomware DarkSide en mayo que provocó el corte de suministro de combustible en gran parte de los Estados Unidos.
Otro ataque que quedará en la historia fue el de Kaseya. El grupo REvil aprovechó una vulnerabilidad zero-day en el software de gestión de TI Kaseya VSA (utilizado comúnmente por proveedores de servicios administrados) y mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software, comprometieron a más de 1500 compañías en varios países. Luego, demandaron la millonaria cifra de 70 millones de dólares por un descifrador para todas las víctimas.
Más allá de estos casos, han sido varios los ataques de ransomware que en 2021 tuvieron un gran impacto por la magnitud de sus víctimas y las consecuencias (muchos los hemos cubierto en WeLiveSecurity). Por ejemplo, el que sufrió la empaquetadora de carne norteamericana, JBS, por parte de REvil, el ataque de Conti al sistema de salud de Irlanda, o los ataques a las compañías de seguro CNA de Estados Unidos y AXA de Francia por parte de los ransomware Phoenix y Avaddon respectivamente. En el caso de AXA, casualmente la compañía ofrecía seguros contra ataques de ransomware y una semana antes de sufrir el incidente había dejado de ofrecer este servicio.
Aumento en la cantidad de víctimas de ransomware en 2021 con respecto a 2020
Según información publicada por DarkTracer, compañía que se dedica a monitorear la actividad de los grupos de ransomware en la Dark web, desde el 1 de enero de 2019 al 9 de noviembre de 2021 un total de 53 bandas de ransomware afectaron a 3.767 organizaciones.
Para comprender mejor estas cifras, entre 2019 y 2020 un total de 22 grupos de ransomware afectaron afectado a 1.315 organizaciones. Si dejamos de lado el aumento de los grupos en el acumulado y nos detenemos solamente en el número de víctimas, esto quiere decir que solo en 2021 se registraron más de 2.452 organizaciones afectadas en ataques de ransomware; una cifra bastante superior a las 1315 que se registraron sumando los dos años previos y que muestra a las claras el crecimiento en la cantidad de víctimas.
Si bien la escena es muy dinámica y muchos grupos dejan de operar para luego resurgir con un nuevo nombre, cambios en el código y una nueva red de afiliados, cuando esto sucede generalmente quedan fuera de servicio los sitios que utilizan en la Dark web para publicar la información robada y el nombre de sus víctimas. Teniendo esto en cuenta, en septiembre observamos que la cantidad de sitios activos pertenecientes a grupos de ransomware habían aumentado y eran más de 40, dándonos una idea sobre la cantidad de grupos de ransomware en actividad durante 2021.
Vectores de ataque más utilizados por los grupos de ransomware
Aparte de algunos ataques en particular, como el ataque a Kaseya utilizando una zero-day en el software Kaseya VSA que demuestra la evolución del ransomware en cuanto a capacidad de estas bandas, en general los vectores para obtener acceso inicial más utilizados siguen siendo los mismos que el año anterior; es decir, ataques de phishing, explotación de vulnerabilidades o ataques al protocolo de escritorio remoto (RDP).
En el caso de la explotación de vulnerabilidades, en septiembre un grupo de investigadores publicaron una lista que recopila 42 vulnerabilidades explotadas por diferentes grupos de ransomware para lograr acceso inicial a sus sistemas. La lista incluye 17 tecnologías diferentes que se detallan en este artículo.
So, we are up to 42 vulnerabilities across 17 technologies (with 1 pending) that ransomware groups exploit for initial access. This is why preaching “just patch” isn’t good enough. I don’t know what the answer is, but what we’re doing clearly isn’t working. https://t.co/oYBRUwTWf3
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) September 17, 2021
Por otra parte, en este artículo encontrarán más información sobre las vulnerabilidades comúnmente explotadas en ataques de ransomware según la industria.
Más allá de la explotación de vulnerabilidades, los ataques de phishing siguen siendo un recurso utilizado por los criminales y también los ataques al escritorio remoto (RDP). En este sentido, si bien en 2020 los ataques de fuerza bruta al RDP crecieron 768% entre el primer y último trimestre de 2020, en 2021 el panorama se mantuvo igual. En América Latina, por ejemplo, las detecciones de ataques de fuerza bruta a clientes RDP creció un 32%.
Lectura recomendada: Por qué desconectar RDP de Internet para evitar ser víctima de un ataque
Cuáles fueron los grupos de ransomware con mayor actividad en 2021
A comienzos de este año repasábamos cuáles habían sido las bandas más activas durante 2020 y veíamos que Ruyk, Maze, Doppelpaymer, Netwalker, Conti y REvil, en ese orden, habían sido los más activos. En 2021 algunos nombres se repiten, ya que, si bien grupos como Maze o Netwalker dejaron de operar, al igual que otros que también tuvieron actividad importante en 2021, como es el caso de Avaddon, en noviembre Conti registraba un total de 599 víctimas acumuladas y se convertía a casi un mes de finalizar el año en el grupo de mayor actividad en 2021
Las otras familias más activas en 2021 fueron Lockbit 2.0, Pysa y REvil. Todas estas bandas no solo se cobraron muchas víctimas a lo largo y ancho del mundo, sino también en la región de América Latina, como podemos observar en la siguiente infografía.
Ransomware REvil (Sodinokibi)
En el caso de REVil, también conocido como Sodinokibi, si bien hace poco dejó de operar, esta familia que venía en actividad desde 2019 fue responsable del ataque de Kaseya, pero también de otros ataques muy importantes. Por ejemplo, el que impactó a la compañía de alimentos JBS que decidió pagar a los atacantes 11 millones de dólares. Otro ataque de REvil que tuvo gran repercusión fue el ataque a Quanta Computer, un proveedor de Apple, así como el ataque a Sol Oriens, una empresa contratada para trabajar con la Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA, por sus siglas en inglés), además de otras agencias federales.
Varias industrias fueron afectadas por REvil, como la industria manufacturera (19%), servicios legales (15.5%) y la industria de servicios (11,9%). En América Latina, las víctimas de REvil están en Argentina, Brasil, Colombia y México.
Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet, exploit kits y explotación de vulnerabilidades.
Ransomware Conti
Esta familia de ransomware fue detectada por primera vez en 2019 y fue una de las más activas en 2021. En noviembre, el número de víctimas acumuladas desde sus inicios daba cuenta que es el grupo qué más organizaciones afectó con 599.
LockBit and Pysa ransomware gangs surpassed 300, ranking second and third side by side.
3,767 victim organizations and 53 darkweb ransomware gangs. (2019.01.01 ~ 2021.11.09) pic.twitter.com/DhLQq2nH5h
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) November 10, 2021
Entre los ataques qué más trascendieron en 2021 se destaca el que impactó al sistema de salud de Irlanda y que provocó la interrupción en el funcionamiento de sus sistemas. Vale la pena mencionar que atacó a otras 16 instituciones de salud de Estados Unidos. Sin embargo, si revisamos cuáles fueron las industrias qué más padecieron a esta banda, la industria manufacturera aparece como la principal, seguida por la industria de la alimentación y en tercer lugar sectores como el financiero, servicios TI y la construcción.
Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. En el caso de los correos de phishing, se ha observado el uso de documentos adjuntos maliciosos utilizados para descargar malware como TrickBot, Bazar backdoor, o aplicaciones legítimas usadas de forma maliciosa (como Cobalt Strike) para realizar movimiento lateral sobre la red de la víctima y luego descargar el ransomware.
Entre los países de América Latina que sufrieron este malware figuran Argentina, Brasil, Colombia, Nicaragua, República Dominicana.
Lectura recomendada: Ransomware Conti: principales características y cómo operan sus afiliados
Ransomware Lockbit 2.0
La primera variante de esta familia fue detectada entre septiembre de 2019 y enero de 2020 bajo el nombre Lockbit y desde junio de 2021 cambió a Lockbit 2.0. Según publicaron los criminales en su sitio, esta nueva versión incluye una función para el robo de información conocida como “StealBit” que permite descargar automáticamente y de manera veloz todos los archivos de los sistemas de la víctima. Asimismo, el grupo asegura contar con el software de cifrado más rápido (373MB/s) en comparación con el que utilizan otros grupos de ransomware.
En noviembre de 2021 acumulaba un total de 348 organizaciones afectadas. Uno de los ataques más recordados fue el que impactó a Accenture y en el cual solicitaron un rescate de 50 millones de dólares.
En cuanto a la forma de distribuirse, esta familia utiliza correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades en software, como soluciones VPN.
Entre los países de América Latina que sufrieron Lockbit 2.0 figuran Brasil, México, Perú, Venezuela, Panamá.
Ransomware Pysa
Esta familia surgió a fines de 2019 pero tomó notoriedad a fines de 2020 con ataques a instituciones educativas, agencias gubernamentales, instituciones de salud, entre otras. En noviembre de 2021 el número de organizaciones víctimas era 307 desde sus inicios.
Los métodos de distribución más utilizados por Pysa son los correos de spearphishing y ataques al servicio de escritorio remoto (RDP).
Entre los países de América Latina que sufrieron al ransomware Pysa aparecen Argentina, Brasil, Colombia y México.
Ransomware Avaddon
Si bien las primeras apariciones de Avaddon son de fines de 2019, no fue hasta la primera mitad de 2021 que tuvo gran actividad a nivel global, y sobre todo en América Latina, registrando víctimas en Brasil, Chile, Colombia, Costa Rica, México y Perú. Sin embargo, dejó de operar en junio de 2021 y compartió las claves de descifrado para que las víctimas puedan recuperar los archivos.
Según el Centro de Ciberseguridad de Australia, país en el que Avaddon tuvo mucha actividad y afectó a varias organizaciones públicas y privadas, el monto promedio que solicitaban los atacantes en los rescates es de aproximadamente 40.000 dólares.
En cuanto a los mecanismos de distribución más utilizados, en el caso de Avaddon el más común eran los correos de phishing que incluían adjuntos maliciosos, como archivos ZIP o JPG, y también se han registrado casos utilizando otros malware que descargan en una etapa posterior Avaddon. Al igual que los otros grupos que mencionamos, también utilizó como vector de acceso la explotación de vulnerabilidades y los servicios RDP.
Lectura recomendada: Principales características del ransomware Avaddon
Qué podemos esperar para el 2022 con el ransomware
En países como Estados Unidos (uno de los más afectados por el ransomware), luego del ataque a Colonial Pipeline desde el gobierno comenzaron a tomar medidas para combatir esta amenaza. Como consecuencia de esas acciones, hace poco más de 30 países acordaron trabajar de forma conjunta para dar lucha contra este tipo de amenaza, lo que implica compartir información entre las fuerzas de seguridad y los centros de emergencia y respuesta ante incidentes de seguridad (CERT) de cada país, y también trabajar en mejorar los mecanismos para responder a este tipo de amenazas y promover buenas prácticas que tienen un rol clave en la actividad del ransomware.
Si bien hemos visto noticias de arrestos a miembros afiliados de algunos de estos grupos como parte de operaciones internacionales, así como programas que ofrecen importantes recompensasmas a cambio de información sobre los actores de amenazas detrás de estos grupos, los datos de 2021 muestran un crecimiento en todos los números, por lo que probablemente la tendencia se mantenga similar en 2022.
Ante este contexto, uno de los principales deseos de las organizaciones para el próximo año debería ser no incorporarse a la lista de alguna de estas bandas criminales. Para ello, deberán asegurarse de realizar las debidas diligencias y trabajar para mitigar los riesgos, y también prepararse en caso de sufrir un ataque de este tipo de malware.
Lecturas recomendadas:
La actividad del ransomware no se detiene: ¿cómo combatir esta amenaza?
Ataques de ransomware y su vínculo con el teletrabajo
