A medida que las organizaciones se enfrentan a una actividad cada vez mayor de ransomware en los últimos meses de 2024, la importancia de mantener estrategias de ciberseguridad sólidas nunca ha sido más clara. Comprender cómo los actores de amenazas desarrollan sus tácticas es crucial para proteger los datos y sistemas críticos. Bitdefender, especialista en ciberseguridad presentó el informe de amenazas de este mes, donde se examina la actividad del ransomware y se descubrió 647 víctimas en todos los sitios de filtración.
Hechos destacados
- Arresto en relación con ciberataques a infraestructura crítica de Estados Unidos: Mikhail Pavlovich Matveev, un desarrollador de ransomware vinculado a operaciones asociadas con LockBit y Babuk, fue arrestado por las autoridades rusas. Mateev había sido objeto de una intensa búsqueda que duró casi dos años. Ahora que el cibercriminal se enfrenta a prisión en Rusia, algunos especulan si su sentencia será comparable o más severa que las de los miembros del grupo REvIl sentenciados a principios de este año , que recibieron penas de prisión que van desde cuatro a seis años.
- Una operación de INTERPOL incauta más de 400 millones de dólares: el organismo de seguridad llevó a cabo varias operaciones importantes para combatir los delitos cibernéticos en 2024, incluida la Operación HAECHI V, la cual identificó con éxito a miles de ciberdelincuentes, incluidos individuos de China y Corea del Norte involucrados en estafas de phishing y esquemas de vulneración de correo electrónico empresarial.
- El ransomware Ymir emplea tácticas de ejecución únicas: este ataque muestra un enfoque de ejecución inusual en comparación con otras familias de ransomware, ya que explota funciones de administración de memoria, como malloc, para ejecutar su código, lo que reduce la probabilidad de detección por parte de antivirus tradicionales y soluciones de detección y respuesta de endpoints (EDR). Ymir generalmente se implementa después de que RustyStealer compromete los sistemas, roba credenciales y permite más ataques. El ransomware utiliza el algoritmo de cifrado ChaCha20 y agrega la extensión .6C5oy2dVr6a a los archivos afectados.
- Akira ejecuta un número récord de ataques en noviembre: este ransomware experimentó un aumento drástico de su actividad el mes pasado, y Bitdefender registró 90 víctimas solo en noviembre, superando con creces su récord mensual anterior de 30 ataques en julio.
- CyberVolk adopta el modelo RaaS: CyberVolk, un grupo de hacktivistas alineado con Rusia, ha ampliado sus operaciones adoptando el modelo Ransomware-as-a-Service (RaaS). Además, del ransomware el grupo ha lanzado ataques DDoS contra organizaciones específicas. A pesar de sus vínculos geopolíticos con los intereses rusos, algunos informes sugieren que las actividades de este grupo también pueden involucrar a actores en la India.
- KillSec y SafePay se posicionan entre los 10 grupos de ransomware más importantes: estos grupos son los que más prominencia están ganando. Por el lado de KillSec, un grupo ruso de hacktivistas que lanzó un programa RaaS el verano pasado, también comercializa servicios como pruebas de penetración y recopilación de OSINT. Mientras tanto, SafePay, que utiliza ransomware con similitudes a LockBit, aprovecha un constructor de LockBit para sus operaciones.
- BianLian cambia de enfoque: BianLian, que lleva en activo desde 2022, ha dejado de centrarse en cifrar los archivos de las víctimas para pasar a extraer datos. Este malware emplea scripts de PowerShell y Rclone para robar datos.
- La variante del ransomware Helldown ataca a los sistemas Linux: Helldown, un grupo de ransomware activo desde agosto de 2024, ha desarrollado una nueva variante para Linux. Este grupo explota vulnerabilidades en los productos de VPN y firewall de Zyxel, incluida CVE-2024-42057, que permite ataques de inyección de comandos.
Las 10 principales familias de ransomware
Bitdefender se encarga de analizar datos de sitios de fugas de ransomware, donde los grupos de atacantes publican su supuesto número de empresas comprometidas. Este enfoque proporciona información valiosa sobre la actividad general del mercado de RaaS. Sin embargo, existe una desventaja: si bien refleja el éxito autoproclamado de los atacantes, la información proviene directamente de los delincuentes y puede no ser confiable.
Las bandas de ransomware priorizan los objetivos en los que potencialmente pueden exprimir la mayor cantidad de dinero de sus víctimas. Esto suele significar centrarse en los países desarrollados.
Bitdefender ofrece soluciones de ciberseguridad y protección avanzada contra amenazas a cientos de millones de endpoints en todo el mundo. Los laboratorios de la compañía descubren más de 400 amenazas cada minuto y validan 30 mil millones de consultas diarias.
