Según Symantec los grupos de ransomware y los ataques aumentan en el segundo trimestre de 2024.
El incremento en el Q2 sugiere que los atacantes han recuperado poco a poco su impulso, luego de la interrupción experimentada entre finales de 2023 e inicios de 2024, gracias a las operaciones ejecutadas por cuerpos de la ley contra varias operaciones de ransomware.
El análisis que proviene de datos tomados de los sitios de fugas de ransomware, dejó en evidencia que los actores se atribuyeron 1.310 ataques en el segundo trimestre de 2024, lo que significa un aumento del 36% respecto al primer trimestre de este año. La cifra corresponde a la segunda mayor cantidad de ataques reconocidos por operaciones de ransomware durante un trimestre la cual solo es superada por los 1.488 ataques reclamados en el Q3 de 2023.
¿A qué obedece el incremento en los ataques de ransomware?
Varios factores apuntan a que esta cifra es la consecuencia de la recuperación completa del grupo LockBit, que experimentó una interrupción consecuencia de la acciones realizadas en febrero de 2024, donde varios actores internacionales se coordinaron para acabar con los cibercriminales. LockBit, que ha sido por mucho la operación más prolífica de ransomware, tuvo un incremento en el segundo trimestre de 2024 con 353 ataques auto atribuídos, mostrando recuperación y niveles de actividad más altos que nunca.
Otro factor que se alinea para el incremento de los ataques es la aparición de nuevos operadores que han ocupado el espacio que dejó la extinta Noberus, que junto a LockBit, fue uno de los actores dominantes antes del cierre de cifras en marzo de 2024. Entre los sucesores, el principal ha sido Qilin (también conocido como Agenda) que fue visto por primera vez a finales de 2022 y que según informes es una operación de ransomware como servicio (RaaS) con un incremento del 47% en el segundo trimestre de 2024.
Quizá el aumento más significativo en los ataques reconocidos involucró a RansomHub, que teniendo en cuenta su reciente aparición, ha sido una de las operaciones que ha ganado afiliados más rápido para su operación, triplicando sus propias cifras de 23 a 75 ataques reconocidos por la organización cibercriminal, lo cual la ha impulsado al centro de del ecosistema del ransomware.
El análisis de Symantec frente a la situación de los grupos de ransomware.
En primer lugar, hubo una diferencia marcada entre los niveles de actividad general declarados públicamente y la actividad de ransomware investigada por Symantec. Por ejemplo LockBit se atribuyó el 27% de los ataques reportados públicamente, pero solo fue el responsable del 19% de los ataques analizados por Symantec.
Por otro lado, el grupo Play fue el autor del 19% de todos los ataques investigados por Symantec, pero solo representó el 7% de los ataques reclamados públicamente.
La comparación puede indicar un panorama de las tasas de éxito para los actores involucrados en las operaciones, pero tengamos en cuenta que la identificación positiva de un ataque como asociado de una determinada familia de ransomware solo ocurre cuando Symantec detecta que el atacante pasa a la fase en la que se intenta desplegar una carga útil.
¿Cuáles son los vectores usados por los atacantes?
Es difícil determinar con precisión y agilidad cuáles son todos los vectores para todos los ataques de ransomware. Sin embargo, la evidencia apunta a la explotación de vulnerabilidades conocidas en aplicaciones públicas como el medio de acceso principal.
En 2014, el equipo de Symantec descubrió que los actores vinculados con Snakefly escaneaban activamente los servidores CrushFTP vulnerables a CVE-2024-4040 ejecutando comandos remotos que les permitían descargar malware en máquinas comprometidas. Si bien se realizó un parche sobre CVE-2024-4040 el 19 de abril de 2024, el grupo cibercriminal persistía en la búsqueda y explotación de sistemas sin parchear.
Este grupo es especialista en este tipo de ataques y cuenta con un histórico en cuanto a la explotación de vulnerabilidades recién parcheadas y de día cero se refiere, con el fin de lanzar campañas de extorsión.
Por ejemplo, Snakefly es directamente responsable del ransomware CI0P y todo apunta a que el despliegue de este malware sea el objetivo principal de esta campaña. También existe evidencia anecdótica de que los atacantes apuntan a sevridores RDP que están expuestos con credenciales débiles y segmentaciones de red deficientes lo que facilita el movimiento lateral. Frecuentemente, la falta de autenticación multifactor (MFA) en estos servicios indica credencialaes débiles y particularmente vulnerables a la explotación.
eSoft LATAM, a la vanguardia de la protección contra amenazas
¿Preocupado por las distintas vulnerabilidades que pueda tener su organización? Contamos con 18 años de experiencia en la implementación, seguimiento y consultoría de soluciones de ciberseguridad para organizaciones a lo largo de toda América Latina. Gracias a nuestros resultados somos Partner Tier1/VAD Expert Advantage Partner de Broadcom y Partner Premier de Symantec.
Permítanos ser su aliado estratégico en ciberseguridad, contamos con el expertise necesario en todas las soluciones Symantec las cuales abarcan la protección de puntos finales, redes, prevención de pérdida de datos, encriptación de comunicaciones, mitigación de riesgos en navegación, entre muchas más. Agende un assessment gratuito en el botón.
Fuente: https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-attacks-rebound