El Departamento de Estado de EE.UU. ha Anunciado recompensas monetarias de hasta 10 millones de dólares por información sobre personas que ocupan puestos clave dentro de la operación de ransomware Hive.
También está regalando 5 millones de dólares adicionales para detalles que podrían conducir al arresto y/o condena de cualquier persona «que conspire para participar o intente participar en la actividad del ransomware Hive».
Las recompensas multimillonarias llegan poco más de un año después de que un esfuerzo coordinado de aplicación de la ley se infiltrara y desmantelara de forma encubierta la infraestructura de la red oscura asociada con la banda de ransomware como servicio (RaaS) Hive. Una persona con presuntos vínculos con el grupo fue detenido en París en diciembre de 2023.
Hive, que surgió a mediados de 2021, apuntó a más de 1.500 víctimas en más de 80 países, obteniendo alrededor de 100 millones de dólares en ingresos ilegales. En noviembre de 2023, Bitdefender reveló que un nuevo grupo de ransomware llamado Hunters International había adquirido el código fuente y la infraestructura de Hive para poner en marcha sus propios esfuerzos.
Existe cierta evidencia que sugiere que los actores de amenazas asociados con Hunters International probablemente tengan su sede en Nigeria, específicamente un individuo llamado Olowo Kehinde, según información recopilado por el investigador de seguridad de Netenrich Rakesh Krishnanaunque también podría tratarse de un personaje falso adoptado por los actores para encubrir sus verdaderos orígenes.
La empresa de análisis de blockchain Chainalysis, en su revisión de 2023 publicada la semana pasada, estimó que los equipos de ransomware recaudaron 1.100 millones de dólares en pagos extorsionados en criptomonedas a las víctimas el año pasado, en comparación con 567 millones de dólares en 2022, lo que prácticamente confirma que el ransomware se recuperó en 2023 tras una caída relativa. en 2022.
«2023 marca un importante regreso del ransomware, con pagos récord y un aumento sustancial en el alcance y la complejidad de los ataques, una reversión significativa de la disminución observada en 2022», afirma. dicho.
La disminución de la actividad de ransomware en 2022 se ha considerado una aberración estadística, atribuyéndose la caída a la guerra ruso-ucraniana y la interrupción de Hive. Es más, el número total de víctimas publicadas en sitios de filtración de datos en 2023 fue de 4.496, frente a 3.048 en 2021 y 2.670 en 2022.
La Unidad 42 de Palo Alto Networks, en su propio análisis de las listas públicas de víctimas de las bandas de ransomware en sitios web oscuros, señaló que la manufactura es la industria vertical más afectada en 2023, seguida de la profesión y los servicios legales, la alta tecnología, el comercio minorista, la construcción y sectores sanitarios.
Si bien la acción policial evitó aproximadamente $130 millones en pagos de rescate a Hive, se dice que la eliminación también «probablemente afectó las actividades más amplias de los afiliados de Hive, reduciendo potencialmente la cantidad de ataques adicionales que podrían llevar a cabo». En total, el esfuerzo puede haber evitado al menos 210,4 millones de dólares en pagos.
Además de la escalada en la regularidad, el alcance y el volumen de los ataques, el año pasado también se produjo un aumento de nuevos participantes y ramificaciones, una señal de que el ecosistema de ransomware está atrayendo un flujo constante de nuevos jugadores atraídos por la perspectiva de altas ganancias. y reducir las barreras de entrada.
El proveedor de seguros cibernéticos Corvus dijo que el número de bandas de ransomware activas registró un aumento «significativo» del 34% entre el primer y el cuarto trimestre de 2023, pasando de 35 a 47, ya sea debido a fracturas y cambios de marca o a que otros actores se apoderaron de cifrados filtrados. En 2023 surgieron veinticinco nuevos grupos de ransomware.
«La frecuencia del cambio de marca, especialmente entre los actores detrás de las cepas más grandes y notorias, es un recordatorio importante de que el ecosistema de ransomware es más pequeño de lo que parecería la gran cantidad de cepas», dijo Chainalysis.
Además de un cambio notable hacia la caza mayor, que se refiere a la táctica de apuntar a empresas muy grandes para obtener rescates cuantiosos, los pagos de rescate se están canalizando constantemente a través de puentes entre cadenas, intercambiadores instantáneos y servicios de apuestas, lo que indica que los grupos de delitos electrónicos están alejándose lentamente de intercambios centralizados y mezcladores en busca de nuevas vías para el lavado de dinero.
En noviembre de 2023, el Departamento del Tesoro de Estados Unidos impuso sanciones contra Sinbad, un mezclador de divisas virtual que ha sido utilizado por el Grupo Lazarus, vinculado a Corea del Norte, para lavar ganancias obtenidas ilícitamente. Algunos de los otros mezcladores autorizados incluyen Blender, Tornado Cash y ChipMixer.
El giro hacia la caza mayor también es consecuencia de que las empresas se niegan cada vez más a llegar a acuerdos, ya que el número de víctimas que optaron por pagar cayó a un nuevo mínimo del 29% en el último trimestre de 2023, según datos de Coveware.
«Otro factor que contribuyó al aumento de las cifras de ransomware en 2023 fue un cambio importante en el uso de las vulnerabilidades por parte de los actores de amenazas», Corvus dichodestacando Cl0p’s explotación de fallas en Fortra GoAnywhere y Progress MOVEit Transfer.
«Si el malware, como los ladrones de información, proporciona un goteo constante de nuevas víctimas de ransomware, entonces una vulnerabilidad importante es como abrir un grifo. Con algunas vulnerabilidades, el acceso relativamente fácil a miles de víctimas puede materializarse aparentemente de la noche a la mañana».
La empresa de ciberseguridad Recorded Future reveló que el uso de vulnerabilidades de seguridad por parte de los grupos de ransomware se divide en dos categorías claras: vulnerabilidades que solo han sido explotadas por uno o dos grupos y aquellas que han sido ampliamente explotadas por múltiples actores de amenazas.
«Magniber se ha centrado exclusivamente en las vulnerabilidades de Microsoft, y la mitad de sus exploits únicos se centran en Windows Smart Screen», anotado. «Cl0p se ha centrado de forma única e infame en el software de transferencia de archivos de Accellion, SolarWinds y MOVEit. ALPHV se ha centrado de forma única en el software de copia de seguridad de datos de Veritas y Veeam. REvil se ha centrado exclusivamente en el software de servidor de Oracle, Atlassian y Kaseya».
La adaptación continua observada entre los equipos de delitos cibernéticos también se evidencia en el aumento de las infecciones DarkGate y PikaBot tras la eliminación de la red de malware QakBot, que ha sido la vía de entrada inicial preferida a las redes objetivo para la implementación de ransomware.
«Los grupos de ransomware como Cl0p han utilizado exploits de día cero contra vulnerabilidades críticas recientemente descubiertas, lo que representa un desafío complejo para las víctimas potenciales», Unidad 42 dicho.
«Si bien los datos del sitio de fuga de ransomware pueden proporcionar información valiosa sobre el panorama de amenazas, es posible que estos datos no reflejen con precisión el impacto total de una vulnerabilidad. Las organizaciones no solo deben estar atentas a las vulnerabilidades conocidas, sino que también deben desarrollar estrategias para responder rápidamente y mitigarlas. el impacto de los exploits de día cero.»