Gestión del fraude y delitos cibernéticos, Ransomware Un sitio de filtraciones abarrotado puede ser una debilidad y la menor cantidad de nuevos actores, una señal de mayor calidadMathew J. Schwartz(euroinfosec) • 14 de agosto de 2024 Lo que está arriba ahora está abajo. (Imagen: Shutterstock) ¿Cuántas víctimas de ransomware pagan a sus atacantes para evitar las consecuencias psicológicas de que su nombre aparezca, o que sus datos robados se viertan, en un blog sobre filtraciones de datos? Ver también: Guía de un ejecutivo para poner en funcionamiento la IA generativa No lo sabemos. La respuesta a esa pregunta implica una mezcla compleja de presión psicológica, temores de relaciones públicas, vergüenza por ser víctima y una miríada de otros factores, racionales o no. Esto es lo que sí sabemos: en comparación con el año pasado, «los anuncios de ransomware siguen aumentando, a pesar de múltiples interrupciones y arrestos notables de las fuerzas del orden», dice un nuevo informe de Unit 42, el grupo de inteligencia de amenazas de Palo Alto Networks. En la primera mitad de este año, 53 grupos de ransomware registraron colectivamente 1.762 nuevas víctimas (una media de unas 294 al mes) en sus sitios de filtraciones. El uso continuo de los sitios de filtración de datos por parte de los atacantes sugiere que siguen siendo un incentivo útil para obligar al menos a algunas víctimas a pagar. Los grupos de extorsión pretenden hacerse ver lo más grandes y malos posible para asustar a las futuras víctimas y conseguir que paguen. Pero, como suele ocurrir, los que más gritan esconden una debilidad, ya que las publicaciones en los sitios de filtraciones no se correlacionan bien con los datos de telemetría de las empresas de seguridad. LockBit lleva mucho tiempo reivindicando el puesto de «hacker más prolífico» en función de su sitio de filtraciones. Pero el grupo de respuesta al ransomware Coveware dijo que, de los miles de casos que ayudó a investigar entre abril y junio, LockBit representó solo el 7%. Es posible que los recuentos de víctimas tampoco reflejen unas pocas puntuaciones importantes. Tomemos como ejemplo el grupo de ransomware Dark Angels, que apareció por primera vez en mayo de 2022 y «consiguió atraer una atención mínima», dijo Zscaler ThreatLabz. Eso fue hasta que ThreatLabz vinculó recientemente al grupo con la recepción del pago de ransomware más grande conocido en la historia, por un valor de $ 75 millones, a principios de este año. Eso es un recordatorio de que los sitios de filtración de datos nunca cuentan la historia completa. No todos los grupos de ransomware los usan, y cuando lo hacen, solo enumeran un subconjunto de víctimas que no pagan, en lugar de un recuento completo y completo de quién pagó (ver: Los blogs de filtración de datos de los grupos de ransomware mienten: deje de confiar en ellos). El auge de RansomHub Otro problema es el concepto de los propios grupos, que puede disfrazar lo amorfo que puede ser el ecosistema criminal. Las operaciones de ransomware como servicio dependen en gran medida de afiliados. Estos socios comerciales funcionan como contratistas, tomando el malware de bloqueo de cifrado de una operación y usándolo para infectar a una víctima, generalmente a cambio del 70% al 80% de cada rescate pagado. Los afiliados a veces trabajan con múltiples operaciones de ransomware al mismo tiempo, o cambian de lealtades. El mismo afiliado puede ser responsable de las víctimas vinculadas a diferentes grupos de ransomware. Aunque los grupos aparecen y desaparecen, al menos de nombre, los afiliados suelen seguir trabajando. Tomemos como ejemplo a Notchy, el afiliado autodenominado despreciado de BlackCat. Notchy llevó luego los datos de Change Healthcare a RansomHub, que comenzó a volver a extorsionar al intermediario de facturación médica. RansomHub es un recién llegado que apareció en febrero y «rápidamente se estableció como un grupo de extorsión destacado», con 181 víctimas hasta finales de junio, según la firma de ciberseguridad Rapid7. El grupo de seguridad Symantec de Broadcom dijo que RansomHub parece ser un reinicio del grupo Knight, anteriormente conocido como Cyclops, basándose en la similitud de su malware. No está claro si están involucrados los mismos actores, pero los desarrolladores del código fuente de Knight anunciaron su retiro en febrero y la venta de su código fuente, lo que significa que «es posible que otros actores compraran el código fuente de Knight y lo actualizaran antes de lanzar RansomHub», dijo Symantec. El rápido ascenso del grupo de ransomware parece haber sido ayudado por el hecho de que probablemente cuenta con «operadores veteranos con experiencia y contactos en el ciberespacio», dijo Symantec, y también porque reclutó afiliados experimentados de BlackCat, incluido Notchy. Disminución de los recién llegados A pesar de que hay tantos grupos de ransomware en juego, el número de nuevas operaciones parece estar en declive. Coveware dijo que vio durante el segundo trimestre un aumento en los operadores solitarios, probablemente impulsado en parte por las redadas de las fuerzas del orden y la «toxicidad» asociada a tantos grupos, especialmente cuando afectan a la atención médica u otros servicios públicos. Rapid7 dijo que 95 nuevos grupos de ransomware debutaron en 2022. El número del año pasado fue solo 43. Pero nuevamente, los números no suelen hablar por sí solos cuando se evalúa el subsuelo criminal del ransomware, ya que el número más bajo puede representar un impulso por la calidad frente a la cantidad, ya que los operadores de ransomware duplican lo que funciona. Tácticamente hablando, eso parece involucrar «variantes de ransomware más especializadas y altamente efectivas», dijo Rapid7, así como más operaciones de extorsión. “Este cambio indica que los grupos de ransomware se están centrando en la calidad por sobre la cantidad, refinando sus técnicas y utilizando herramientas probadas que permiten ataques dirigidos y disruptivos”. URL de la publicación original: https://www.databreachtoday.com/blogs/upside-down-topsy-turvy-world-ransomware-p-3691