La Oficina Federal de Investigaciones (FBI) de EE. UU. advierte sobre una nueva tendencia de ataques duales de ransomware dirigidos a las mismas víctimas, al menos desde julio de 2023.
«Durante estos ataques, los actores de amenazas cibernéticas implementaron dos variantes diferentes de ransomware contra las empresas víctimas: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal», informó el FBI. dicho en una alerta. «Se desplegaron variantes en diferentes combinaciones».
No se sabe mucho sobre la escala de tales ataques, aunque se cree que ocurren muy cerca unos de otros, oscilando entre 48 horas y 10 días.
Otro cambio notable observado en los ataques de ransomware es el mayor uso de robo de datos personalizados, herramientas de limpieza y malware para ejercer presión sobre las víctimas para que paguen.
«Este uso de variantes duales de ransomware resultó en una combinación de cifrado de datos, exfiltración y pérdidas financieras por pagos de rescate», dijo la agencia. «Un segundo ataque de ransomware contra un sistema ya comprometido podría dañar significativamente a las entidades víctimas».
Vale la pena señalar que los ataques duales de ransomware no son un fenómeno completamente nuevo, ya que casos observados ya en mayo de 2021.
El año pasado, Sophos reveló que un proveedor de automóviles anónimo había sido afectado por un triple ataque de ransomware que comprende Lockbit, Hive y BlackCat durante un lapso de dos semanas entre abril y mayo de 2022.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Luego, a principios de este mes, Symantec detalló un ataque de ransomware a las 3 a.m. dirigido a una víctima anónima luego de un intento fallido de entregar LockBit en la red objetivo.
El cambio de táctica se reduce a varios factores contribuyentes, incluida la explotación de vulnerabilidades de día cero y la proliferación de intermediarios y afiliados de acceso inicial en el panorama del ransomware, que pueden revender el acceso a los sistemas de las víctimas y desplegar diversas cepas en rápida sucesión.
Se recomienda a las organizaciones que fortalezcan sus defensas manteniendo copias de seguridad fuera de línea, monitoreando las conexiones remotas externas y el uso del protocolo de escritorio remoto (RDP), aplicando la autenticación multifactor resistente al phishing, auditando las cuentas de los usuarios y segmentando las redes para evitar la propagación del ransomware.