Un nuevo informe desarrollado en este terreno por la firma de seguridad Zscaler advierte además que en los últimos meses se han disparado de forma exponencial los conocidos como ataques de «doble extorsión»: aquellos que no solo secuestran los datos de sus víctimas, sino que que amenazan con filtrarlos o exponerlos de forma pública si no se paga el rescate.
La creciente sofisticación de estos grupos cibercriminales está llevando además a que los ataques sean cada vez mas selectivos. Así como ha explicado Deepen Desai, CISO y VP de Investigación de Seguridad en Zscaler, «los delincuentes golpearán a aquellas organizaciones que tienen una mayor probabilidad de pagar el rescate. En muchos ataques ya hemos detectado que los cibercriminales tenían conocimiento de aspectos como la cobertura del ciberseguro de la víctima, así como de los proveedores de la cadena de suministro críticos, lo que les coloca en la diana de estos ataques».
La doble extorsión: el método preferido
A finales de 2019, ThreatLabz (el equipo de investigación de Zcaler) observó una creciente preferencia por los ataques de «doble extorsión» en algunas de las familias de ransomware más activas e impactantes.
Estos ataques se definen por una combinación de cifrado no deseado de datos sensibles por parte de actores maliciosos y la extracción de los archivos más significativos para pedir un rescate. Las organizaciones afectadas, incluso si son capaces de recuperar los datos de las copias de seguridad, se ven entonces amenazadas con la exposición pública de sus datos robados por parte de grupos delictivos que exigen un rescate. A finales de 2020, el equipo observó que esta táctica se vio incrementada con ataques DDoS sincronizados, sobrecargando los sitios web de las víctimas y ejerciendo una presión adicional sobre las organizaciones para que cooperen.
Según esta compañía de seguridad informática, los sectores más afectados por este tipo de ataques han sido la industria manufacturera (12,7%), servicios (8,9%), transporte (8,8%), retail (8,3%) y tecnología (8%).
Los programas de ransomware más activos
Por otro lado, durante el último año el laboratorio de investigación de la compañía ha identificado siete «familias» de ransomware que han protagonizado la mayoría de este tipo de ataques, así como los cinco grupos más activos. Son los siguientes:
Maze/Egregor
Aparecido inicialmente en mayo de 2019, Maze fue el ransomware más utilizado para los ataques de doble extorsión ( contabilizando 273 incidentes) hasta que aparentemente dejó de funcionar en noviembre de 2020.
Los atacantes utilizaron campañas de correo electrónico de spam, kits de explotación como Fallout y Spelevo, y servicios RDP hackeados para obtener acceso a los sistemas y cobraron con éxito grandes rescates después de encriptar y robar archivos de empresas de TI y tecnología. Los tres principales sectores atacados por Maze fueron la alta tecnología (11,9%), la industria manufacturera (10,7%) y los servicios (9,6%). En particular, Maze se comprometió a no atacar a las empresas del sector sanitario durante la pandemia de COVID-19.
Conti
Detectado por primera vez en febrero de 2020, es la segunda familia de ataques más común, con 190 ataques. Conti comparte código con el ransomware Ryuk y parece ser su sucesor. Conti utiliza la API del gestor de reinicio de Windows antes de cifrar los archivos, lo que le permite cifrar más archivos como parte de su estrategia de doble extorsión.
Las víctimas que no quieren o no pueden pagar el rescate ven sus datos publicados regularmente en el sitio web de filtración de datos de Conti. Los tres sectores más afectados son la industria manufacturera (12,4%), los servicios (9,6%) y transporte (9,0%).
Doppelpaymer
Detectado por primera vez en julio de 2019 y con 153 ataques documentados, Doppelpaymer se dirige contra una selección de sectores y suele exigir grandes pagos: de seis y siete cifras. Inicialmente infecta las máquinas con un correo electrónico de spam que contiene un enlace malicioso o un archivo adjunto malicioso.
Doppelpaymer luego descarga el malware Emotet y Dridex en los sistemas infectados. Las tres organizaciones más atacadas por Doppelpaymer fueron la industria manufacturera (15,1%), el comercio minorista y mayorista (9,9%) y las administraciones públicas (8,6%).
Sodinokibi
También conocido como REvil y Sodin, Sodinokibi fue observado por primera vez en abril de 2019, y se lo ha encontrado con creciente frecuencia a lo largo de 125 ataques. Al igual que Maze, Sodinokibi utiliza correos electrónicos de spam, kits de explotación y cuentas RDP comprometidas, además de explotar frecuentemente vulnerabilidades en Oracle WebLogic.
Sodinokibi comenzó a utilizar tácticas de doble extorsión en enero de 2020 y tuvo el mayor impacto en el transporte (11,4%), la industria manufacturera (11,4%) y el comercio minorista/mayorista (10,6%).
DarkSide
Fue detectado por primera vez en agosto de 2020 tras publicar un comunicado de prensa en el que anunciaba sus servicios. Utilizando un modelo de «ransomware como servicio», DarkSide despliega métodos de doble extorsión para robar y cifrar información.
El grupo hace público su programa de objetivos, escribiendo en su página web que no ataca a organizaciones sanitarias, servicios funerarios, centros educativos, organizaciones sin ánimo de lucro o administraciones públicas. En su lugar, los principales objetivos elegidos son los servicios (16,7%), la industria manufacturera (13,9%) y los servicios de transporte (13,9%). Al igual que en el caso de Conti, los que no pueden pagar el rescate ven sus datos publicados en el sitio web de DarkSide.
El estudio completo sobre el ransomware de Zscaler ya está disponible para el público en general. Para más información consulte “ThreatLabZ Ransomware Review: The Advent of Double Extortion”.