El brutal desmantelamiento del equipo de ransomware LockBit y la humillación de sus actores clave ha sido una de las historias de éxito de seguridad cibernética más comentadas de los últimos 12 meses, pero al observar los datos sin procesar, no parece haber hecho mucho para disuadir a los ciberdelincuentes. Esto es según el Informe anual sobre el estado de las amenazas 2024 de Secureworks, que hoy abre el telón para revelar un aumento interanual del 30% en los grupos activos de ransomware que utilizan sitios de filtración de nombres y vergüenza, con 31 nuevos actores ingresando al ecosistema en el período comprendido entre junio de 2023 y julio de 2024. Dado que la eliminación de LockBit tuvo lugar en febrero, puede que no sea una gran sorpresa saber que la pandilla representó el 17% de las listas de ransomware durante el período analizado, aunque esto disminuyó un 8%. % interanual dada la perturbación causada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido, que lideró el asalto de la Operación Cronos. También cayó durante el año pasado BlackCat/ALPHV, que sufrió una paliza similar a manos de las autoridades antes de retirar su propio producto en una posible estafa de salida, mientras que Clop/Cl0p, que capitalizó el compromiso de transferencia de archivos MOVEit en 2023. para afectar a cientos de víctimas, tampoco ha estado tan activo últimamente. Mientras tanto, Play, el segundo grupo de ransomware más activo, duplicó su número de víctimas año tras año, mientras que RansomHub, un nuevo grupo que surgió poco después de la caída de LockBit, se ha convertido en apenas unos meses en el tercer grupo más activo. la escena, con una cuota del 7% de las víctimas incluidas en la lista. Qilin también ha dejado su huella, especialmente en su sonado ataque contra Synnovis, socio del NHS. “El ransomware es un negocio que no es nada sin su modelo de afiliado. En el último año, la actividad policial ha destrozado viejas lealtades, remodelando el negocio del delito cibernético. Originalmente caóticas en su respuesta, los actores de amenazas han refinado sus operaciones comerciales y su forma de trabajar. El resultado es un mayor número de grupos, respaldado por una importante migración de afiliados”, dijo Don Smith, vicepresidente de inteligencia de amenazas en Secureworks Counter Threat Unit (CTU). «A medida que el ecosistema evoluciona, tenemos entropía en los grupos de amenazas, pero también imprevisibilidad en los manuales, lo que agrega una complejidad significativa para los defensores de la red», dijo Smith. Más pandillas, menos víctimas Pero a pesar de este crecimiento, todavía no se ha visto que el número de víctimas aumente a un ritmo similar, posiblemente como resultado de que las pandillas intentan encontrar su lugar en un panorama más fragmentado. El equipo de CTU también observó muchos movimientos de afiliados en el ecosistema de ransomware, lo que puede estar impulsando en parte esta tendencia. En muchos casos durante los últimos 12 meses, los investigadores observaron una serie de ataques de ransomware en los que las víctimas aparecían en más de un sitio, posiblemente como resultado de que los afiliados buscaban nuevas salidas para su trabajo en un ecosistema cada vez más caótico. Y los últimos 12 meses ciertamente han sido caóticos; Los analistas de Secureworks dijeron que la tendencia ha sido claramente una ampliación del panorama del ransomware, de modo que un panorama anteriormente dominado por un número menor de grandes operaciones ahora alberga un grupo más diverso de ciberdelincuentes. Sin embargo, esto puede estar conduciendo a un panorama de amenazas más peligroso al estilo del «Salvaje Oeste», donde los grupos más pequeños tienen menos responsabilidad y estructura en términos de cómo operan. Por ejemplo, la caída en el tiempo medio de permanencia observada este año parece ser el resultado de que los delincuentes se mueven rápido y rompen cosas en ataques vertiginosos, aplastantes y de agarre. A medida que el nuevo ecosistema evolucione y se fusione en los próximos meses, Secureworks dijo que los defensores pueden esperar ver muchas más variaciones y cambios en las metodologías de ataque. Algunas de las nuevas metodologías ya observadas en el campo incluyen una tendencia cada vez mayor de las bandas de ransomware a robar credenciales y cookies de sesión para obtener acceso a través del adversario en el medio (AitM), a veces conocido como hombre en el medio (MitM). ), utilizando kits de phishing como EvilProxy o Tycoon2FA, que están disponibles en la web oscura. El equipo de investigación dijo que esta tendencia debería hacer sonar la alarma para los defensores, ya que potencialmente reduce la efectividad de algunos tipos de autenticación multifactor (MFA). Las bandas de ransomware tampoco son inmunes al atractivo de la inteligencia artificial (IA). Desde el lanzamiento de ChatGPT hace casi dos años, se ha hablado en la fraternidad criminal sobre cómo estos modelos pueden implementarse con fines nefastos (principalmente para phishing), pero algunos de los casos de uso son bastante más novedosos. En un ataque investigado por Secureworks, una banda de ciberdelincuentes monitoreó las tendencias de Google después de la muerte de una celebridad para identificar el interés en obituarios, y luego utilizó IA generativa para crear tributos en sitios maliciosos que fueron manipulados hasta la cima de las búsquedas de Google mediante envenenamiento de SEO. Estos sitios podrían utilizarse fácilmente como vector para la propagación de malware o ransomware. «El panorama de los delitos cibernéticos continúa evolucionando, a veces en menor medida, en ocasiones más significativo. El uso cada vez mayor de la IA da escala a los actores de amenazas; sin embargo, el aumento de los ataques AitM presenta un problema más inmediato para las empresas, lo que refuerza que la identidad es el perímetro y debería causar empresas a hacer balance y reflexionar sobre su postura defensiva», afirmó Smith.