{"id":1135852,"date":"2024-01-15T15:25:26","date_gmt":"2024-01-15T15:25:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/tres-recien-llegados-al-grupo-de-ransomware-a-seguir-en-2024\/"},"modified":"2024-01-15T15:25:30","modified_gmt":"2024-01-15T15:25:30","slug":"tres-recien-llegados-al-grupo-de-ransomware-a-seguir-en-2024","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/tres-recien-llegados-al-grupo-de-ransomware-a-seguir-en-2024\/","title":{"rendered":"Tres reci\u00e9n llegados al grupo de ransomware a seguir en 2024"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

La industria del ransomware se dispar\u00f3 en 2023, ya que experiment\u00f3 un alarmante aumento del 55,5 % en el n\u00famero de v\u00edctimas en todo el mundo, alcanzando la asombrosa cifra de 4.368 casos. <\/p>\n\n\n\n\n
\"Informe<\/a><\/td>\n<\/tr>\n
Figura 1: V\u00edctimas a\u00f1o tras a\u00f1o por trimestre<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La monta\u00f1a rusa desde un crecimiento explosivo en 2021 hasta una ca\u00edda moment\u00e1nea en 2022 fue solo un adelanto: 2023 regres\u00f3 con el mismo fervor que 2021, impulsando a los grupos existentes y marcando el comienzo de una ola de formidables reci\u00e9n llegados.<\/p>\n\n\n\n\n
\"Informe<\/a><\/td>\n<\/tr>\n
Figura 2: Recuento de v\u00edctimas de ransomware 2020-2023<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

LockBit 3.0 mantuvo su puesto n\u00famero uno con 1047 v\u00edctimas logradas a trav\u00e9s del boeing<\/a> ataque, el Royal Mail Attack y m\u00e1s. alphv<\/a> y cl0p<\/a> lograron mucho menos \u00e9xito: se les atribuyeron 445 y 384 v\u00edctimas, respectivamente, en 2023. <\/p>\n\n\n\n\n
\"Informe<\/a><\/td>\n<\/tr>\n
Figura 3: Los 3 principales grupos de ransomware activos en 2023<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Estos tres grupos contribuyeron en gran medida al auge de los ataques de ransomware en 2023, pero no fueron los \u00fanicos grupos responsables. Muchos ataques provinieron de bandas de ransomware emergentes como 8base<\/a>Rhysida, 3 a.m., Malaslocker, BianLian<\/a>Jugar, akira<\/a>y otros.<\/p>\n

Reci\u00e9n llegados a la industria del ransomware<\/h2>\n

En Cyberint, el equipo de investigaci\u00f3n est\u00e1 investigando constantemente los \u00faltimos grupos de ransomware<\/a> y analizarlos para determinar su posible impacto. Este blog analizar\u00e1 a 3 nuevos actores de la industria, examinar\u00e1 su impacto en 2023 y profundizar\u00e1 en sus TTP. <\/p>\n

Para conocer otros jugadores nuevos, descargue el Informe de ransomware 2023 aqu\u00ed.<\/a><\/h3>\n

ransomware a las 3 a.m.<\/h3>\n

Ha surgido una cepa de ransomware recientemente descubierta llamada 3AM, pero su uso ha sido limitado hasta ahora. En 2023 s\u00f3lo han conseguido impactar a m\u00e1s de 20 organizaciones (la mayor\u00eda en EE.UU.). Sin embargo, est\u00e1n ganando notoriedad debido a que un afiliado de ransomware intent\u00f3 implementar LockBit en la red de un objetivo cambiando a las 3 a. m. cuando LockBit estaba bloqueado.<\/p>\n

Con frecuencia aparecen nuevas familias de ransomware, y la mayor\u00eda desaparece con la misma rapidez o nunca logra ganar terreno significativo. Sin embargo, el hecho de que un afiliado de LockBit haya utilizado 3AM como alternativa sugiere que puede ser de inter\u00e9s para los atacantes y podr\u00eda volver a verse en el futuro.<\/p>\n

Curiosamente, 3AM est\u00e1 codificado en Rust y parece ser una familia de malware completamente nueva. Sigue una secuencia espec\u00edfica: intenta detener m\u00faltiples servicios en la computadora comprometida antes de iniciar el proceso de cifrado de archivos. Despu\u00e9s de completar el cifrado, intenta borrar las instant\u00e1neas de volumen (VSS). Cualquier v\u00ednculo potencial entre sus autores y organizaciones conocidas de delitos cibern\u00e9ticos sigue sin estar claro.<\/p>\n\n\n\n\n
\"Informe<\/a><\/td>\n<\/tr>\n
Figura 4: Datos filtrados de las 3 a.m.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Las actividades sospechosas del actor de amenazas comenzaron con la utilizaci\u00f3n del comando gpresult para extraer la configuraci\u00f3n de pol\u00edticas aplicadas en la computadora para un usuario espec\u00edfico. Posteriormente, ejecutaron varios componentes de Cobalt Strike e hicieron esfuerzos para elevar los privilegios en la computadora usando PsExec.<\/p>\n

A continuaci\u00f3n, los atacantes realizaron un reconocimiento mediante comandos como whoami, netstat, quser y net share. Tambi\u00e9n intentaron identificar otros servidores para el movimiento lateral utilizando los comandos quser y net view. Adem\u00e1s, establecieron una nueva cuenta de usuario para mantener la persistencia y emplearon la herramienta Wput para transferir los archivos de las v\u00edctimas a su servidor FTP.<\/p>\n

La utilizaci\u00f3n del script Yugeon Web Clicks de 2004 puede parecer desconcertante a primera vista. Plantea preguntas sobre por qu\u00e9 un grupo de ransomware emergente optar\u00eda por una tecnolog\u00eda tan obsoleta. Sin embargo, existen varias razones potenciales para esta elecci\u00f3n, entre ellas:<\/p>\n

    \n
  1. Oscuridad: <\/strong>Es posible que las herramientas de seguridad modernas no reconozcan con tanta frecuencia los scripts y tecnolog\u00edas m\u00e1s antiguos, lo que reduce la probabilidad de detecci\u00f3n.<\/li>\n
  2. Sencillez:<\/strong> Los scripts m\u00e1s antiguos pueden proporcionar una funcionalidad sencilla sin las complejidades que a menudo se asocian con sus hom\u00f3logos modernos, lo que facilita la implementaci\u00f3n y la gesti\u00f3n.<\/li>\n
  3. Exceso de seguridad:<\/strong> Es posible que el grupo tenga un alto nivel de confianza en sus capacidades y no vea la necesidad de invertir en tecnolog\u00eda m\u00e1s avanzada, particularmente para su sitio web.<\/li>\n<\/ol>\n

    Es fundamental se\u00f1alar que esta elecci\u00f3n expone al grupo a ciertos riesgos. El empleo de tecnolog\u00eda obsoleta con vulnerabilidades conocidas puede hacer que sus operaciones sean vulnerables a ataques externos, contramedidas o posibles sabotajes por parte de otros actores de amenazas.<\/p>\n

    La elecci\u00f3n del grupo de ransomware 3AM de emplear un script PHP obsoleto es un testimonio de la naturaleza impredecible de los ciberdelincuentes. A pesar de su uso de cepas avanzadas de ransomware para atacar a las organizaciones, su selecci\u00f3n de tecnolog\u00edas backend puede verse influenciada por una combinaci\u00f3n de consideraciones estrat\u00e9gicas, conveniencia y exceso de confianza. Subraya la importancia de que las organizaciones permanezcan alerta y adopten un enfoque de seguridad hol\u00edstico, reconociendo que las amenazas pueden surgir tanto de tecnolog\u00edas de \u00faltima generaci\u00f3n como de tecnolog\u00edas anticuadas.<\/p>\n

    TTP conocidos<\/h4>\n\n\n\n\n\n\n\n\n
    Herramientas <\/td>\n T\u00e1ctica <\/td>\n<\/tr>\n
    Desarrollo de recursos <\/td>\n T1650 – Adquirir acceso <\/td>\n<\/tr>\n
    Recopilaci\u00f3n <\/td>\n T1560: Archivar datos recopilados <\/td>\n<\/tr>\n
    Impacto <\/td>\n T1565.001 – Manipulaci\u00f3n de datos almacenados <\/td>\n<\/tr>\n
    Recopilaci\u00f3n <\/td>\n T1532: Archivar datos recopilados <\/td>\n<\/tr>\n
    Recopilaci\u00f3n <\/td>\n T1005 – Datos del sistema local <\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Ransomware Rhysida<\/h3>\n

    El grupo de ransomware Rhysida salt\u00f3 a la fama en mayo\/junio de 2023 cuando lanzaron un portal de chat de soporte a v\u00edctimas al que se pod\u00eda acceder a trav\u00e9s de su sitio TOR (.onion). Afirman ser un “equipo de ciberseguridad” que act\u00faa en el mejor inter\u00e9s de sus v\u00edctimas, apuntando a sus sistemas y destacando las vulnerabilidades.<\/p>\n

    En junio, Rhysida llam\u00f3 la atenci\u00f3n despu\u00e9s de revelar p\u00fablicamente documentos robados de la Arm Chilena de su sitio de filtraci\u00f3n de datos. Desde entonces, el grupo ha ganado notoriedad debido a sus ataques a instituciones de atenci\u00f3n m\u00e9dica, incluida Prospect Medical Holdings, las principales agencias gubernamentales y empresas de ciberseguridad que los siguen de cerca. Se han dirigido a varias entidades de alto perfil, incluida la Biblioteca Brit\u00e1nica, donde provocaron una importante interrupci\u00f3n tecnol\u00f3gica y vendieron PII robada en l\u00ednea, e Insomniac Games, un desarrollador de videojuegos propiedad de Sony. Han demostrado un amplio alcance en diversas industrias.<\/p>\n

    TTP conocidos<\/h4>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    Herramientas<\/strong><\/td>\nT\u00e1ctica<\/strong><\/td>\n<\/tr>\n
    Escalada de privilegios<\/strong><\/td>\nT1055.003: Secuestro de ejecuci\u00f3n de subprocesos<\/td>\n<\/tr>\n
    Escalada de privilegios<\/strong><\/td>\nT1547.001: Claves de ejecuci\u00f3n del registro\/carpeta de inicio<\/td>\n<\/tr>\n
    Escalada de privilegios<\/strong><\/td>\nT1055 – Inyecci\u00f3n de Proceso<\/td>\n<\/tr>\n
    Escalada de privilegios<\/strong><\/td>\nT1548.002 – Omitir el control de cuentas de usuario<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1036 – Enmascaramiento<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1027.005 – Extracci\u00f3n del indicador de las herramientas<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1027: Archivos o informaci\u00f3n ofuscados<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1620 – Carga de c\u00f3digo reflectante<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1564.004: Atributos del archivo NTFS<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1497-Virtualizaci\u00f3n\/Evasi\u00f3n de Sandbox<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/strong><\/td>\nT1564: Ocultar artefactos<\/td>\n<\/tr>\n
    Descubrimiento<\/strong><\/td>\nT1083: Descubrimiento de archivos y directorios<\/td>\n<\/tr>\n
    Descubrimiento<\/strong><\/td>\nT1010: Descubrimiento de la ventana de la aplicaci\u00f3n<\/td>\n<\/tr>\n
    Descubrimiento<\/strong><\/td>\nT1082: Descubrimiento de informaci\u00f3n del sistema<\/td>\n<\/tr>\n
    Descubrimiento<\/strong><\/td>\nT1057 – Descubrimiento de procesos<\/td>\n<\/tr>\n
    Descubrimiento<\/strong><\/td>\nT1518.001: Descubrimiento de software de seguridad<\/td>\n<\/tr>\n
    Acceso inicial<\/strong><\/td>\nT1566-phishing<\/td>\n<\/tr>\n
    Recopilaci\u00f3n<\/strong><\/td>\nT1005 – Datos del sistema local<\/td>\n<\/tr>\n
    Recopilaci\u00f3n<\/strong><\/td>\nT1119 – Colecci\u00f3n automatizada<\/td>\n<\/tr>\n
    Desarrollo de recursos<\/strong><\/td>\nT1587 – Desarrollar capacidades<\/td>\n<\/tr>\n
    Desarrollo de recursos<\/strong><\/td>\nT1583-Adquirir Infraestructura<\/td>\n<\/tr>\n
    Ejecuci\u00f3n<\/strong><\/td>\nT1129 – M\u00f3dulos compartidos<\/td>\n<\/tr>\n
    Ejecuci\u00f3n<\/strong><\/td>\nT1059 – Int\u00e9rprete de comandos y secuencias de comandos<\/td>\n<\/tr>\n
    Reconocimiento<\/strong><\/td>\nT1595- Escaneo activo<\/td>\n<\/tr>\n
    Reconocimiento<\/strong><\/td>\nT1598-Phishing para obtener informaci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    El grupo Akira<\/h3>\n

    El grupo Akira<\/a>, fue descubierto en marzo de 2023 y se ha cobrado 81 v\u00edctimas hasta la fecha. La investigaci\u00f3n preliminar sugiere una fuerte conexi\u00f3n entre el grupo y el famoso grupo de ransomware Conti. La filtraci\u00f3n del c\u00f3digo fuente de Conti ha llevado a que m\u00faltiples actores de amenazas utilicen el c\u00f3digo de Conti para construir o adaptar el suyo propio, lo que dificulta determinar qu\u00e9 grupos tienen conexiones con Conti y cu\u00e1les simplemente est\u00e1n utilizando el c\u00f3digo filtrado. <\/p>\n

    Sin embargo, Akira proporciona ciertas pistas reveladoras que sugieren una conexi\u00f3n con Conti, que van desde similitudes en su enfoque hasta el desprecio por los mismos tipos de archivos y directorios, as\u00ed como la incorporaci\u00f3n de funciones comparables. Adem\u00e1s, Akira utiliza el algoritmo ChaCha para cifrar archivos, implementado de forma similar al ransomware Conti. Por \u00faltimo, las personas detr\u00e1s del ransomware Akira dirigieron pagos completos de rescate a direcciones asociadas con el grupo Conti.<\/p>\n

    Akira ofrece ransomware como servicio, que afecta tanto a los sistemas Windows como a Linux. Utilizan su DLS (sitio de fuga de datos) oficial para publicar informaci\u00f3n sobre sus v\u00edctimas y actualizaciones sobre sus actividades. Los actores de amenazas se concentran principalmente en Estados Unidos, aunque tambi\u00e9n apuntan al Reino Unido, Australia y otros pa\u00edses.<\/p>\n

    Exfiltran y cifran datos para obligar a las v\u00edctimas a pagar un doble rescate, tanto para recuperar el acceso como para restaurar sus archivos. En casi todos los casos de intrusi\u00f3n, Akira ha aprovechado las credenciales comprometidas para hacerse un hueco inicial en el entorno de la v\u00edctima. Curiosamente, la mayor\u00eda de las organizaciones objetivo no hab\u00edan implementado la autenticaci\u00f3n multifactor (MFA) para sus VPN. Si bien el origen exacto de estas credenciales comprometidas sigue siendo incierto, existe la posibilidad de que los actores de la amenaza hayan obtenido acceso o credenciales de la web oscura.<\/p>\n

    TTP conocidos<\/h4>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    Herramientas<\/td>\nT\u00e1ctica<\/td>\n<\/tr>\n
    Exfiltraci\u00f3n<\/td>\nT1567: Exfiltraci\u00f3n a trav\u00e9s de servicio web<\/td>\n<\/tr>\n
    Acceso inicial<\/td>\nT1566.001 – Accesorio de phishing submarino<\/td>\n<\/tr>\n
    Exfiltraci\u00f3n<\/td>\nT1041 – Exfiltraci\u00f3n sobre el canal C2<\/td>\n<\/tr>\n
    Exfiltraci\u00f3n<\/td>\nT1537: Transferir datos a una cuenta en la nube<\/td>\n<\/tr>\n
    Recopilaci\u00f3n<\/td>\nT1114.001: Recopilaci\u00f3n de correo electr\u00f3nico local<\/td>\n<\/tr>\n
    Impacto<\/td>\nT1486: Datos cifrados para generar impacto<\/td>\n<\/tr>\n
    Acceso inicial<\/td>\nT1566.002: Enlace de phishing submarino<\/td>\n<\/tr>\n
    Ejecuci\u00f3n<\/td>\nT1059.001 – PowerShell<\/td>\n<\/tr>\n
    Ejecuci\u00f3n<\/td>\nT1569.002 – Ejecuci\u00f3n del servicio<\/td>\n<\/tr>\n
    Descubrimiento<\/td>\nT1016.001 – Descubrimiento de conexi\u00f3n a Internet<\/td>\n<\/tr>\n
    Acceso inicial<\/td>\nT1078 – Cuentas V\u00e1lidas<\/td>\n<\/tr>\n
    Escalada de privilegios<\/td>\nT1078 – Cuentas V\u00e1lidas<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/td>\nT1078 – Cuentas V\u00e1lidas<\/td>\n<\/tr>\n
    Persistencia<\/td>\nT1078 – Cuentas V\u00e1lidas<\/td>\n<\/tr>\n
    Escalada de privilegios<\/td>\nT1547.009 – Modificaci\u00f3n de acceso directo<\/td>\n<\/tr>\n
    Persistencia<\/td>\nT1547.009 – Modificaci\u00f3n de acceso directo<\/td>\n<\/tr>\n
    Acceso inicial<\/td>\nT1190: Explotar aplicaci\u00f3n p\u00fablica<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/td>\nT1027.001 – Relleno binario<\/td>\n<\/tr>\n
    Exfiltraci\u00f3n<\/td>\nT1029 – Transferencia Programada<\/td>\n<\/tr>\n
    Ejecuci\u00f3n<\/td>\nT1059.003: Shell de comandos de Windows<\/td>\n<\/tr>\n
    Acceso inicial<\/td>\nT1195 – Compromiso de la cadena de suministro<\/td>\n<\/tr>\n
    Evasi\u00f3n de defensa<\/td>\nT1036.005 – Coincidencia de nombre o ubicaci\u00f3n leg\u00edtimos<\/td>\n<\/tr>\n
    Escalada de privilegios<\/td>\nT1547.001: Claves de ejecuci\u00f3n del registro\/carpeta de inicio<\/td>\n<\/tr>\n
    Persistencia<\/td>\nT1547.001: Claves de ejecuci\u00f3n del registro\/carpeta de inicio<\/td>\n<\/tr>\n
    Exfiltraci\u00f3n<\/td>\nT1020 – Exfiltraci\u00f3n automatizada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    La industria del ransomware est\u00e1 floreciendo y atrae a grupos nuevos y audaces que buscan hacerse un nombre mediante el desarrollo de servicios y herramientas de ransomware de alta calidad. En 2024, Cyberint anticipa que varios de estos grupos m\u00e1s nuevos mejorar\u00e1n sus capacidades y emerger\u00e1n como actores dominantes en la industria junto con grupos veteranos como LockBit 3.0, Cl0p y AlphV.<\/p>\n

    Lea el Informe de ransomware 2023 de Cyberint para conocer las industrias y pa\u00edses m\u00e1s afectados, un desglose de los 3 principales grupos de ransomware, familias de ransomware dignas de menci\u00f3n, reci\u00e9n llegados a la industria, campa\u00f1as notables para 2023 y pron\u00f3sticos para 2024.<\/p>\n

    Lea el informe para obtener informaci\u00f3n detallada y m\u00e1s.<\/b><\/a><\/h3>\n

    <\/p>\n

    \u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n