La industria del ransomware se disparó en 2023, ya que experimentó un alarmante aumento del 55,5 % en el número de víctimas en todo el mundo, alcanzando la asombrosa cifra de 4.368 casos.
 |
| Figura 1: Víctimas año tras año por trimestre |
La montaña rusa desde un crecimiento explosivo en 2021 hasta una caída momentánea en 2022 fue solo un adelanto: 2023 regresó con el mismo fervor que 2021, impulsando a los grupos existentes y marcando el comienzo de una ola de formidables recién llegados.
 |
| Figura 2: Recuento de víctimas de ransomware 2020-2023 |
LockBit 3.0 mantuvo su puesto número uno con 1047 víctimas logradas a través del boeing ataque, el Royal Mail Attack y más. alphv y cl0p lograron mucho menos éxito: se les atribuyeron 445 y 384 víctimas, respectivamente, en 2023.
 |
| Figura 3: Los 3 principales grupos de ransomware activos en 2023 |
Estos tres grupos contribuyeron en gran medida al auge de los ataques de ransomware en 2023, pero no fueron los únicos grupos responsables. Muchos ataques provinieron de bandas de ransomware emergentes como 8baseRhysida, 3 a.m., Malaslocker, BianLianJugar, akiray otros.
Recién llegados a la industria del ransomware
En Cyberint, el equipo de investigación está investigando constantemente los últimos grupos de ransomware y analizarlos para determinar su posible impacto. Este blog analizará a 3 nuevos actores de la industria, examinará su impacto en 2023 y profundizará en sus TTP.
Para conocer otros jugadores nuevos, descargue el Informe de ransomware 2023 aquí.
ransomware a las 3 a.m.
Ha surgido una cepa de ransomware recientemente descubierta llamada 3AM, pero su uso ha sido limitado hasta ahora. En 2023 sólo han conseguido impactar a más de 20 organizaciones (la mayoría en EE.UU.). Sin embargo, están ganando notoriedad debido a que un afiliado de ransomware intentó implementar LockBit en la red de un objetivo cambiando a las 3 a. m. cuando LockBit estaba bloqueado.
Con frecuencia aparecen nuevas familias de ransomware, y la mayoría desaparece con la misma rapidez o nunca logra ganar terreno significativo. Sin embargo, el hecho de que un afiliado de LockBit haya utilizado 3AM como alternativa sugiere que puede ser de interés para los atacantes y podría volver a verse en el futuro.
Curiosamente, 3AM está codificado en Rust y parece ser una familia de malware completamente nueva. Sigue una secuencia específica: intenta detener múltiples servicios en la computadora comprometida antes de iniciar el proceso de cifrado de archivos. Después de completar el cifrado, intenta borrar las instantáneas de volumen (VSS). Cualquier vínculo potencial entre sus autores y organizaciones conocidas de delitos cibernéticos sigue sin estar claro.
 |
| Figura 4: Datos filtrados de las 3 a.m. |
Las actividades sospechosas del actor de amenazas comenzaron con la utilización del comando gpresult para extraer la configuración de políticas aplicadas en la computadora para un usuario específico. Posteriormente, ejecutaron varios componentes de Cobalt Strike e hicieron esfuerzos para elevar los privilegios en la computadora usando PsExec.
A continuación, los atacantes realizaron un reconocimiento mediante comandos como whoami, netstat, quser y net share. También intentaron identificar otros servidores para el movimiento lateral utilizando los comandos quser y net view. Además, establecieron una nueva cuenta de usuario para mantener la persistencia y emplearon la herramienta Wput para transferir los archivos de las víctimas a su servidor FTP.
La utilización del script Yugeon Web Clicks de 2004 puede parecer desconcertante a primera vista. Plantea preguntas sobre por qué un grupo de ransomware emergente optaría por una tecnología tan obsoleta. Sin embargo, existen varias razones potenciales para esta elección, entre ellas:
- Oscuridad: Es posible que las herramientas de seguridad modernas no reconozcan con tanta frecuencia los scripts y tecnologías más antiguos, lo que reduce la probabilidad de detección.
- Sencillez: Los scripts más antiguos pueden proporcionar una funcionalidad sencilla sin las complejidades que a menudo se asocian con sus homólogos modernos, lo que facilita la implementación y la gestión.
- Exceso de seguridad: Es posible que el grupo tenga un alto nivel de confianza en sus capacidades y no vea la necesidad de invertir en tecnología más avanzada, particularmente para su sitio web.
Es fundamental señalar que esta elección expone al grupo a ciertos riesgos. El empleo de tecnología obsoleta con vulnerabilidades conocidas puede hacer que sus operaciones sean vulnerables a ataques externos, contramedidas o posibles sabotajes por parte de otros actores de amenazas.
La elección del grupo de ransomware 3AM de emplear un script PHP obsoleto es un testimonio de la naturaleza impredecible de los ciberdelincuentes. A pesar de su uso de cepas avanzadas de ransomware para atacar a las organizaciones, su selección de tecnologías backend puede verse influenciada por una combinación de consideraciones estratégicas, conveniencia y exceso de confianza. Subraya la importancia de que las organizaciones permanezcan alerta y adopten un enfoque de seguridad holístico, reconociendo que las amenazas pueden surgir tanto de tecnologías de última generación como de tecnologías anticuadas.
TTP conocidos
| Herramientas | Táctica |
| Desarrollo de recursos | T1650 – Adquirir acceso |
| Recopilación | T1560: Archivar datos recopilados |
| Impacto | T1565.001 – Manipulación de datos almacenados |
| Recopilación | T1532: Archivar datos recopilados |
| Recopilación | T1005 – Datos del sistema local |
Ransomware Rhysida
El grupo de ransomware Rhysida saltó a la fama en mayo/junio de 2023 cuando lanzaron un portal de chat de soporte a víctimas al que se podía acceder a través de su sitio TOR (.onion). Afirman ser un “equipo de ciberseguridad” que actúa en el mejor interés de sus víctimas, apuntando a sus sistemas y destacando las vulnerabilidades.
En junio, Rhysida llamó la atención después de revelar públicamente documentos robados de la Arm Chilena de su sitio de filtración de datos. Desde entonces, el grupo ha ganado notoriedad debido a sus ataques a instituciones de atención médica, incluida Prospect Medical Holdings, las principales agencias gubernamentales y empresas de ciberseguridad que los siguen de cerca. Se han dirigido a varias entidades de alto perfil, incluida la Biblioteca Británica, donde provocaron una importante interrupción tecnológica y vendieron PII robada en línea, e Insomniac Games, un desarrollador de videojuegos propiedad de Sony. Han demostrado un amplio alcance en diversas industrias.
TTP conocidos
| Herramientas | Táctica |
| Escalada de privilegios | T1055.003: Secuestro de ejecución de subprocesos |
| Escalada de privilegios | T1547.001: Claves de ejecución del registro/carpeta de inicio |
| Escalada de privilegios | T1055 – Inyección de Proceso |
| Escalada de privilegios | T1548.002 – Omitir el control de cuentas de usuario |
| Evasión de defensa | T1036 – Enmascaramiento |
| Evasión de defensa | T1027.005 – Extracción del indicador de las herramientas |
| Evasión de defensa | T1027: Archivos o información ofuscados |
| Evasión de defensa | T1620 – Carga de código reflectante |
| Evasión de defensa | T1564.004: Atributos del archivo NTFS |
| Evasión de defensa | T1497-Virtualización/Evasión de Sandbox |
| Evasión de defensa | T1564: Ocultar artefactos |
| Descubrimiento | T1083: Descubrimiento de archivos y directorios |
| Descubrimiento | T1010: Descubrimiento de la ventana de la aplicación |
| Descubrimiento | T1082: Descubrimiento de información del sistema |
| Descubrimiento | T1057 – Descubrimiento de procesos |
| Descubrimiento | T1518.001: Descubrimiento de software de seguridad |
| Acceso inicial | T1566-phishing |
| Recopilación | T1005 – Datos del sistema local |
| Recopilación | T1119 – Colección automatizada |
| Desarrollo de recursos | T1587 – Desarrollar capacidades |
| Desarrollo de recursos | T1583-Adquirir Infraestructura |
| Ejecución | T1129 – Módulos compartidos |
| Ejecución | T1059 – Intérprete de comandos y secuencias de comandos |
| Reconocimiento | T1595- Escaneo activo |
| Reconocimiento | T1598-Phishing para obtener información |
El grupo Akira
El grupo Akira, fue descubierto en marzo de 2023 y se ha cobrado 81 víctimas hasta la fecha. La investigación preliminar sugiere una fuerte conexión entre el grupo y el famoso grupo de ransomware Conti. La filtración del código fuente de Conti ha llevado a que múltiples actores de amenazas utilicen el código de Conti para construir o adaptar el suyo propio, lo que dificulta determinar qué grupos tienen conexiones con Conti y cuáles simplemente están utilizando el código filtrado.
Sin embargo, Akira proporciona ciertas pistas reveladoras que sugieren una conexión con Conti, que van desde similitudes en su enfoque hasta el desprecio por los mismos tipos de archivos y directorios, así como la incorporación de funciones comparables. Además, Akira utiliza el algoritmo ChaCha para cifrar archivos, implementado de forma similar al ransomware Conti. Por último, las personas detrás del ransomware Akira dirigieron pagos completos de rescate a direcciones asociadas con el grupo Conti.
Akira ofrece ransomware como servicio, que afecta tanto a los sistemas Windows como a Linux. Utilizan su DLS (sitio de fuga de datos) oficial para publicar información sobre sus víctimas y actualizaciones sobre sus actividades. Los actores de amenazas se concentran principalmente en Estados Unidos, aunque también apuntan al Reino Unido, Australia y otros países.
Exfiltran y cifran datos para obligar a las víctimas a pagar un doble rescate, tanto para recuperar el acceso como para restaurar sus archivos. En casi todos los casos de intrusión, Akira ha aprovechado las credenciales comprometidas para hacerse un hueco inicial en el entorno de la víctima. Curiosamente, la mayoría de las organizaciones objetivo no habían implementado la autenticación multifactor (MFA) para sus VPN. Si bien el origen exacto de estas credenciales comprometidas sigue siendo incierto, existe la posibilidad de que los actores de la amenaza hayan obtenido acceso o credenciales de la web oscura.
TTP conocidos
| Herramientas | Táctica |
| Exfiltración | T1567: Exfiltración a través de servicio web |
| Acceso inicial | T1566.001 – Accesorio de phishing submarino |
| Exfiltración | T1041 – Exfiltración sobre el canal C2 |
| Exfiltración | T1537: Transferir datos a una cuenta en la nube |
| Recopilación | T1114.001: Recopilación de correo electrónico local |
| Impacto | T1486: Datos cifrados para generar impacto |
| Acceso inicial | T1566.002: Enlace de phishing submarino |
| Ejecución | T1059.001 – PowerShell |
| Ejecución | T1569.002 – Ejecución del servicio |
| Descubrimiento | T1016.001 – Descubrimiento de conexión a Internet |
| Acceso inicial | T1078 – Cuentas Válidas |
| Escalada de privilegios | T1078 – Cuentas Válidas |
| Evasión de defensa | T1078 – Cuentas Válidas |
| Persistencia | T1078 – Cuentas Válidas |
| Escalada de privilegios | T1547.009 – Modificación de acceso directo |
| Persistencia | T1547.009 – Modificación de acceso directo |
| Acceso inicial | T1190: Explotar aplicación pública |
| Evasión de defensa | T1027.001 – Relleno binario |
| Exfiltración | T1029 – Transferencia Programada |
| Ejecución | T1059.003: Shell de comandos de Windows |
| Acceso inicial | T1195 – Compromiso de la cadena de suministro |
| Evasión de defensa | T1036.005 – Coincidencia de nombre o ubicación legítimos |
| Escalada de privilegios | T1547.001: Claves de ejecución del registro/carpeta de inicio |
| Persistencia | T1547.001: Claves de ejecución del registro/carpeta de inicio |
| Exfiltración | T1020 – Exfiltración automatizada |
La industria del ransomware está floreciendo y atrae a grupos nuevos y audaces que buscan hacerse un nombre mediante el desarrollo de servicios y herramientas de ransomware de alta calidad. En 2024, Cyberint anticipa que varios de estos grupos más nuevos mejorarán sus capacidades y emergerán como actores dominantes en la industria junto con grupos veteranos como LockBit 3.0, Cl0p y AlphV.
Lea el Informe de ransomware 2023 de Cyberint para conocer las industrias y países más afectados, un desglose de los 3 principales grupos de ransomware, familias de ransomware dignas de mención, recién llegados a la industria, campañas notables para 2023 y pronósticos para 2024.