Cel: +52 (55) 3040-5403 Correo: mariana.velazquez@recluit.com
post-tittle

Tendencias de ransomware que se verán en este año

Por: Reclu IT

24 de mayo de 2022

Según Kaspersky en un nuevo informe, los ciberdelincuentes continúan usando ransomware para amenazar a los minoristas y empresas de todo el país, ya que las antiguas variantes de malware regresan mientras se desarrollan otras nuevas.

Un cuidadoso análisis tecnológico y geopolítico de finales de 2021 y 2022 lleva a Kaspersky a enumerar algunas nuevas tendencias en ransomware.

Ransomware intenta ser lo más adaptable posible

Big Game Hunting

El modelo Big Game Hunting (BGH) ha hecho que los atacantes de amenazas de ransomware hayan penetrado en entornos cada vez más complejos. Como consecuencia, deben lidiar con una variedad de hardware y sistemas operativos muy diferentes y, por lo tanto, deben poder ejecutar su código malicioso en diferentes combinaciones de arquitecturas y sistemas operativos.

Para lograr ese objetivo, algunos desarrolladores de ransomware optaron por escribir su código en lenguajes de programación multiplataforma como Rust o Golang. En una nota al margen interesante, Kaspersky menciona que dicho código multiplataforma también es más difícil de analizar para los defensores que el código escrito en lenguaje de programación C, por ejemplo.

Conti

Algunos afiliados de Conti tienen acceso a una variante del malware que está afectando a los sistemas ESXi con una variante de Linux.

BlackCat

El ransomware BlackCat está escrito en Rust, lo que facilita su compilación en diferentes plataformas. Según Kaspersky, no pasó mucho tiempo después de la aparición de la versión para Windows de BlackCat para que apareciera una versión para Linux. La versión de Linux es muy similar a la versión de Windows, con ligeros cambios para adaptarse a Linux: la ejecución de comandos usando cmd.exe en Windows ha sido reemplazada por el equivalente de Linux. Además, la versión de Linux es capaz de apagar la máquina y eliminar las máquinas virtuales (VM) ESXi.

DeadBolt

DeadBolt viene como otro ejemplo. Este ransomware está escrito como una combinación interesante de Bash, HTML y Golang, lo que le permite usar funcionalidades multiplataforma, aunque solo se dirige a los dispositivos NAS de QNAP y ASUSTOR.

Aquí compartimos algunas de las tendencias que presenta Cedric Pernet, experto en amenazas con un fuerte enfoque en el cibercrimen y el ciberespionaje. Actualmente trabaja en Trend Micro como investigador sénior de amenazas.

El ecosistema de ransomware se vuelve más «industrializado»

Los actores de amenazas de ransomware, al igual que cualquier empresa de software, están en constante evolución en un intento de hacerlo todo más rápido y fácil para ellos y sus clientes/afiliados.

Lockbit ha sido un ransomware como servicio (RaaS) muy exitoso que ha mostrado una evolución constante a lo largo de los años. A partir de 2019, evolucionó rápidamente para dar la bienvenida a los afiliados en 2020 y desarrolló un portal de fugas, un esquema de doble extorsión y exfiltración de datos antes del cifrado de datos. Además del constante desarrollo de las funcionalidades y la facilidad de uso, la infraestructura también mejoró con el tiempo para ser más resistente y contrarrestar los ataques y los intentos de DDoS en su contra.

La herramienta de exfiltración StealBIT también es un ejemplo sorprendente de esta etapa de industrialización. Si bien inicialmente los ciberdelincuentes solo usaban herramientas disponibles públicamente para exfiltrar datos, desarrollaron su propia herramienta para ser menos detectados pero también para mejorar en gran medida la tasa de transferencia de datos. Además, la herramienta solo puede filtrar archivos seleccionados, según las extensiones de archivo. Finalmente, contiene un número de seguimiento de afiliado que se envía cuando se filtran los datos.

Los actores de amenazas de ransomware tienen en cuenta la geopolítica

Para empezar, ahora se tienen en cuenta los aspectos geopolíticos para infectar objetivos. Los titulares que usan COVID-19 o la guerra en Ucrania se han utilizado en correos electrónicos no deseados y de phishing para atraer a los usuarios a abrir archivos adjuntos o hacer clic en enlaces infectados.

Si bien el uso de COVID-19 para infectar correos electrónicos no fue personal, la guerra entre Ucrania y Rusia es diferente, ya que los ciberdelincuentes toman partido, con consecuencias. Como ejemplo, las filtraciones de Conti se debieron a que fue atacada y expuesta por un atacante pro-Ucrania que atacó a Conti debido a su posición en el conflicto. El 25 de febrero de 2022, Conti publicó un comunicado en su sitio web en el que decía que tomaría represalias con todas sus capacidades contra la infraestructura crítica de cualquier enemigo si Rusia se convirtiera en el objetivo de los ataques cibernéticos.

Por otro lado, comunidades como Anonymous, el Ejército de TI de Ucrania y los Cyber ​​Partisans de Bielorrusia tomaron posiciones de apoyo a Ucrania.

Freeud, una nueva variante de ransomware que apoya a Ucrania, contiene un mensaje en la nota de rescate que dice que las tropas rusas deben abandonar Ucrania. El ransomware también tiene capacidades de borrado, en caso de que se haya configurado con una lista de archivos para borrar.

Otro ransomware implementado desde el comienzo de este conflicto ha estado encubriendo actividades destructivas: GoRansom y HermeticWiper, o DoubleZero Wiper, por nombrar algunos.

Recomendaciones para protegerse contra ransomware

Algunas mejores prácticas para mejorar su seguridad son:

  • Mantener siempre actualizados todos los software y sistemas operativos, en todos los dispositivos utilizados por la empresa. Esto es de gran ayuda contra la explotación de vulnerabilidades comunes que podrían tener como objetivo cualquier sistema o dispositivo.
  • El tráfico saliente debe monitorearse en profundidad para detectar la exfiltración de archivos grandes o transferencias de datos de red sospechosas.
  • Desplegar soluciones de seguridad capaces de detectar movimientos laterales. Esos movimientos dentro de la red corporativa son obligatorios para los atacantes y deben detectarse en una etapa temprana para evitar la exfiltración o destrucción de datos.
  • Deben implementarse soluciones de seguridad centradas en el ransomware, además de las soluciones XDR (detección y respuesta extendidas).
  • Proporcione información de inteligencia de amenazas específica a su equipo SOC.
  • Implemente soluciones de protección de correo electrónico/antiphishing, ya que los actores de amenazas de ransomware pueden usar el phishing selectivo para atacar a la empresa.

imagen: @DCStudio

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

Campos obligatorios(*)
post-tittle

Tendencias de ransomware que se verán en este año

Por: Reclu IT

24 de mayo de 2022

Notas relacionadas

Tendencias para el trabajo en 2024, de acuerdo a Gartner

Tendencias de talento IT emergente en América Latina

Tendencias tecnológicas que definirán Fintech en 2023

Tendencias de gestión de datos para este 2023

Tendencias de IA a tener en cuenta este 2023 y más allá

Según Kaspersky en un nuevo informe, los ciberdelincuentes continúan usando ransomware para amenazar a los minoristas y empresas de todo el país, ya que las antiguas variantes de malware regresan mientras se desarrollan otras nuevas.

Un cuidadoso análisis tecnológico y geopolítico de finales de 2021 y 2022 lleva a Kaspersky a enumerar algunas nuevas tendencias en ransomware.

Ransomware intenta ser lo más adaptable posible

Big Game Hunting

El modelo Big Game Hunting (BGH) ha hecho que los atacantes de amenazas de ransomware hayan penetrado en entornos cada vez más complejos. Como consecuencia, deben lidiar con una variedad de hardware y sistemas operativos muy diferentes y, por lo tanto, deben poder ejecutar su código malicioso en diferentes combinaciones de arquitecturas y sistemas operativos.

Para lograr ese objetivo, algunos desarrolladores de ransomware optaron por escribir su código en lenguajes de programación multiplataforma como Rust o Golang. En una nota al margen interesante, Kaspersky menciona que dicho código multiplataforma también es más difícil de analizar para los defensores que el código escrito en lenguaje de programación C, por ejemplo.

Conti

Algunos afiliados de Conti tienen acceso a una variante del malware que está afectando a los sistemas ESXi con una variante de Linux.

BlackCat

El ransomware BlackCat está escrito en Rust, lo que facilita su compilación en diferentes plataformas. Según Kaspersky, no pasó mucho tiempo después de la aparición de la versión para Windows de BlackCat para que apareciera una versión para Linux. La versión de Linux es muy similar a la versión de Windows, con ligeros cambios para adaptarse a Linux: la ejecución de comandos usando cmd.exe en Windows ha sido reemplazada por el equivalente de Linux. Además, la versión de Linux es capaz de apagar la máquina y eliminar las máquinas virtuales (VM) ESXi.

DeadBolt

DeadBolt viene como otro ejemplo. Este ransomware está escrito como una combinación interesante de Bash, HTML y Golang, lo que le permite usar funcionalidades multiplataforma, aunque solo se dirige a los dispositivos NAS de QNAP y ASUSTOR.

Aquí compartimos algunas de las tendencias que presenta Cedric Pernet, experto en amenazas con un fuerte enfoque en el cibercrimen y el ciberespionaje. Actualmente trabaja en Trend Micro como investigador sénior de amenazas.

El ecosistema de ransomware se vuelve más «industrializado»

Los actores de amenazas de ransomware, al igual que cualquier empresa de software, están en constante evolución en un intento de hacerlo todo más rápido y fácil para ellos y sus clientes/afiliados.

Lockbit ha sido un ransomware como servicio (RaaS) muy exitoso que ha mostrado una evolución constante a lo largo de los años. A partir de 2019, evolucionó rápidamente para dar la bienvenida a los afiliados en 2020 y desarrolló un portal de fugas, un esquema de doble extorsión y exfiltración de datos antes del cifrado de datos. Además del constante desarrollo de las funcionalidades y la facilidad de uso, la infraestructura también mejoró con el tiempo para ser más resistente y contrarrestar los ataques y los intentos de DDoS en su contra.

La herramienta de exfiltración StealBIT también es un ejemplo sorprendente de esta etapa de industrialización. Si bien inicialmente los ciberdelincuentes solo usaban herramientas disponibles públicamente para exfiltrar datos, desarrollaron su propia herramienta para ser menos detectados pero también para mejorar en gran medida la tasa de transferencia de datos. Además, la herramienta solo puede filtrar archivos seleccionados, según las extensiones de archivo. Finalmente, contiene un número de seguimiento de afiliado que se envía cuando se filtran los datos.

Los actores de amenazas de ransomware tienen en cuenta la geopolítica

Para empezar, ahora se tienen en cuenta los aspectos geopolíticos para infectar objetivos. Los titulares que usan COVID-19 o la guerra en Ucrania se han utilizado en correos electrónicos no deseados y de phishing para atraer a los usuarios a abrir archivos adjuntos o hacer clic en enlaces infectados.

Si bien el uso de COVID-19 para infectar correos electrónicos no fue personal, la guerra entre Ucrania y Rusia es diferente, ya que los ciberdelincuentes toman partido, con consecuencias. Como ejemplo, las filtraciones de Conti se debieron a que fue atacada y expuesta por un atacante pro-Ucrania que atacó a Conti debido a su posición en el conflicto. El 25 de febrero de 2022, Conti publicó un comunicado en su sitio web en el que decía que tomaría represalias con todas sus capacidades contra la infraestructura crítica de cualquier enemigo si Rusia se convirtiera en el objetivo de los ataques cibernéticos.

Por otro lado, comunidades como Anonymous, el Ejército de TI de Ucrania y los Cyber ​​Partisans de Bielorrusia tomaron posiciones de apoyo a Ucrania.

Freeud, una nueva variante de ransomware que apoya a Ucrania, contiene un mensaje en la nota de rescate que dice que las tropas rusas deben abandonar Ucrania. El ransomware también tiene capacidades de borrado, en caso de que se haya configurado con una lista de archivos para borrar.

Otro ransomware implementado desde el comienzo de este conflicto ha estado encubriendo actividades destructivas: GoRansom y HermeticWiper, o DoubleZero Wiper, por nombrar algunos.

Recomendaciones para protegerse contra ransomware

Algunas mejores prácticas para mejorar su seguridad son:

  • Mantener siempre actualizados todos los software y sistemas operativos, en todos los dispositivos utilizados por la empresa. Esto es de gran ayuda contra la explotación de vulnerabilidades comunes que podrían tener como objetivo cualquier sistema o dispositivo.
  • El tráfico saliente debe monitorearse en profundidad para detectar la exfiltración de archivos grandes o transferencias de datos de red sospechosas.
  • Desplegar soluciones de seguridad capaces de detectar movimientos laterales. Esos movimientos dentro de la red corporativa son obligatorios para los atacantes y deben detectarse en una etapa temprana para evitar la exfiltración o destrucción de datos.
  • Deben implementarse soluciones de seguridad centradas en el ransomware, además de las soluciones XDR (detección y respuesta extendidas).
  • Proporcione información de inteligencia de amenazas específica a su equipo SOC.
  • Implemente soluciones de protección de correo electrónico/antiphishing, ya que los actores de amenazas de ransomware pueden usar el phishing selectivo para atacar a la empresa.

imagen: @DCStudio

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

Campos obligatorios(*)

Newsletter

Regístrate para recibir nuestro newsletter

Registrarse para RecluIT Newsletter
* = campo obligatorio

Encuentra artículos

Secciones

Consultoría

Academia

Colaterales

Tendencias

Crononauta

Quiénes Somos

Aviso de privacidad de www.recluit.com

Para recibir la información sobre sus Datos Personales, la finalidad y las partes con las que se comparte, contacten con el Propietario.

Política de privacidad de www.recluit.mx

Para recibir la información sobre sus Datos Personales, la finalidad y las partes con las que se comparte,
contacten con el Propietario.