Nuevos grupos de ransomware están surgiendo a medida que las ganancias financieras siguen superando los riesgos para los ciberdelincuentes, según un nuevo informe de Rapid7. Desde principios de enero de 2024, la empresa de ciberseguridad ha observado 21 grupos nuevos o renombrados que entran en escena. Estos operan junto con bandas experimentadas como LockBit, que sigue operando a pesar de la detención de las fuerzas del orden, Operation Cronos. En general, Rapid7 dijo que en la primera mitad de 2024 observó un total de 68 grupos de ransomware distintos que publicaban activamente conjuntos de datos extraídos de rescates en sus sitios de filtración individuales. Una nueva cepa de ransomware, según Raj Samani, científico jefe de Rapid7, implica un nivel de nueva base de código y nuevas características. Durante Black Hat USA, Samani le dijo a Infosecurity que hay innovación en estos grupos. «Hace un año hablaríamos de vectores de entrada iniciales en torno a correos electrónicos y protocolos de escritorio remoto (RDP), ahora estamos hablando de la explotación y la quema de días cero a escala». «Lo que sospecho que estamos viendo es una fluidez en el [ransomware] El ransomware es un tipo de ransomware que se está extendiendo por todo el mundo, y que está creciendo en el mercado. También ha señalado que los grupos de ransomware están filtrando datos, mientras que hasta hace poco no lo hacían. “Es una batalla constante en términos de entender lo que están haciendo los actores de amenazas y cómo ponemos en marcha el desarrollo de la detección”, dijo. Algunos de los nuevos operadores incluyen grupos que utilizan los nombres Space Bears, Rabbit Hole, Qiulong, DoNex y Arcus Media. Un ejemplo de un grupo completamente nuevo que surgió en abril es FSociety, señaló Rapid7. Su ransomware se llama FLocker. El grupo tiene su sitio de filtración en Tor, pero también está activo en su propio canal de Telegram. Este es un grupo que no duda en atacar al sector de la salud o los servicios médicos, señaló Rapid7 en su informe. Vínculos entre familias de ransomware Los investigadores de Rapid7 cuestionaron los vínculos entre dos grupos conocidos, ALPHV (Blackcat) y RansomHub. Se ha sugerido que los dos grupos estaban vinculados después de que los servidores de ALPHV sufrieran una interrupción en marzo de 2024, poco después de que atacara a Change Healthcare en un ciberataque. Después del ataque de ALPHV contra Change Healthcare, RansomHub extorsionó a la organización sanitaria por segunda vez. Sin embargo, Rapid7 no cree que los dos grupos estén vinculados porque el ransomware ALPHV se escribió en el lenguaje Rust, mientras que RansomHub está escrito en GoLang. No obstante, Rapid7 descubrió algunos vínculos entre algunos grupos. Por ejemplo, existe una fuerte conexión entre las familias de ransomware Pay y Morok. La cantidad de familias de ransomware únicas observadas en incidentes públicos ha disminuido desde principios de 2022, observó Rapid7. Esto sugiere una tendencia hacia variantes de ransomware más especializadas y altamente efectivas, únicamente operaciones de extorsión, en lugar de una amplia gama de malware menos sofisticado. Rapid7 también examinó los grupos de ransomware más activos en términos de número de publicaciones en sitios de filtraciones en 2024. En enero de 2024 se produjo un aumento interanual del 117% en el número de grupos que publican activamente conjuntos de datos extorsionados en sus sitios de filtraciones. El foro Ransomware and Advanced Malware Protection (RAMP) sigue siendo la plataforma más conocida que alberga corredores de acceso. RAMP exige una tarifa de registro de 500 dólares y facilita las operaciones de ransomware como servicio (RaaS), ya que ofrece kits de ransomware y guías y tutoriales completos para ciberataques. Las pequeñas empresas, un gran objetivo para el ransomware Rapid7 descubrió a través de su análisis de RAMP que las empresas con ingresos en el rango de los 5 millones de dólares aparecen con el doble de frecuencia que las del rango de los 30-50 millones de dólares y cinco veces más frecuentemente que las que tienen un ingreso de 100 millones de dólares. «Detrás de los titulares de las grandes infracciones hay toda una economía en la que las empresas más pequeñas están siendo atacadas exponencialmente más que cualquier otra empresa», dijo Samani. Las empresas con sede en Occidente exigieron un precio más alto debido a su aparente riqueza y a su acceso más fácil a los recursos para el pago. Rapid7 observó un total de siete algoritmos de cifrado utilizados por las muestras de ransomware, siendo AES, Cha Cha y RC4 los que encabezaban la lista. Esto sugiere una elección estratégica por parte de los grupos de ransomware para optimizar el rendimiento y la evasión de la seguridad.