En 2022, se produjeron más de 300.000 ataques de ransomware en todo el mundo, con un coste total de más de 20.000 millones de dólares. En América Latina, los ataques de ransomware han ido en aumento en los últimos años, identificándose que los meses en los que se producen más incidencias suelen ser junio y julio, por lo que es esencial conocer cómo el ransomware está evadiendo las defensas para desplegarse y persistir con malware precursor para, con el tiempo, causar un impacto devastador.
El ransomware sigue siendo una amenaza persistente y creciente que puede causar daños significativos a organizaciones de todos los tamaños. Los atacantes desarrollan constantemente nuevas tácticas y técnicas para evadir las ciberdefensas y desplegar sus cargas útiles de malware, y tienen en los meses de junio y julio el momento perfecto para desplegar ataques devastadores. Estas bandas de ransomware son cada vez más sofisticadas en su enfoque, maximizando el daño que pueden causar y los beneficios que pueden obtener.
Los sectores de la sanidad, la administración pública y la educación se han visto especialmente afectados por ataques de ransomware a nivel global. En América Latina, los ataques de ransomware también han ido en aumento, debido a una serie de factores, como el creciente uso de la tecnología en la región, el número cada vez mayor de pequeñas y medianas empresas en la región, y la falta de conciencia de seguridad en la región.
Acerca del estado del ransomware a nivel mundial
Según una investigación realizada por la entidad de ciberseguridad Sophos en 2023, se reveló que el índice de ataques de ransomware se ha mantenido en el mismo nivel en 2023 con respecto al mismo segmento temporal en 2022, donde alrededor de un 66% de las empresas consultadas indicaron que sus organizaciones fueron víctimas de ataques de ransomware en el año anterior. Viendo que los adversarios ahora son capaces de ejecutar sistemáticamente ataques a escala, podría decirse que el ransomware es el mayor ciberriesgo al que se enfrentan las organizaciones hoy día.
El informe también indica que los ciberdelincuentes han ido desarrollando y puliendo el modelo de ransomware como servicio durante varios años. Este modelo operativo reduce la barrera de entrada para los operadores de ransomware en potencia, al tiempo que aumenta la sofisticación de los ataques al permitir la especialización de los adversarios en las diferentes fases de un ataque.
Por otra parte, según un estudio desarrollado por la empresa Lumu, casi todos los estados de EE.UU. se vieron afectados de alguna forma por el ransomware.
Los estados más ricos y poblados se vieron más afectados que otros. La empresa de investigación tecnológica Comparitech encontró una disminución en el número de ataques de ransomware llevados a cabo en los EE.UU. a lo largo de 2022. Sin embargo, la plataforma de inteligencia de amenazas Darktracer observó un aumento en 2022. La discrepancia en estos resultados refleja la dificultad de rastrear y cuantificar con precisión los ataques de ransomware, así como la naturaleza cambiante de las amenazas cibernéticas.
Una tendencia que se ha observado en los últimos años es la diversificación del ransomware en diferentes sectores. Mientras que antes el sector financiero era el más atacado, ahora ya no es así.
El sector financiero ha invertido en protección, lo que disuade eficazmente a los ciberdelincuentes. Sin embargo, este énfasis excesivo en la defensa está provocando que la madurez de sus operaciones de ciberseguridad y sus capacidades de respuesta se estén quedando obsoletas. El sector sanitario ha experimentado una transformación digital que facilita el intercambio de datos entre distintos sistemas sanitarios y una mejor atención a los pacientes. Sin embargo, este beneficio tiene un coste: los ciberataques se aprovechan de la privacidad de los pacientes y de las vulnerabilidades de los sistemas sanitarios heredados para lucrarse mediante esquemas de ransomware. La educación es el segundo sector más afectado.
El sector educativo lleva mucho tiempo invirtiendo poco en ciberseguridad -incluidos los mecanismos de protección y defensa-, lo que lo sitúa en una posición especialmente vulnerable. La escasa madurez de las operaciones de ciberseguridad las convierte en un blanco fácil, al tiempo que tienen que hacer frente a una gran superficie de ataque. Una escuela media tiene tantos dispositivos conectados a la red como una gran corporación, con el presupuesto de una pequeña empresa. La combinación de baja madurez, gran superficie de ataque y presupuestos más bajos convierten al sector educativo en un verdadero paraíso para una organización de ciberdelincuentes.
Tendencia y eventos de ransomware notorios
Aunque no es sorprendente, el número previsto de ataques de ransomware para 2023, según la entidad Darktracer, muestra otro aumento a nivel mundial, mientras que se prevé una disminución menor para 2023 a nivel mundial. Las cifras proyectadas se basan en los ataques de ransomware que se produjeron en el primer trimestre de 2023, por lo que es probable que la cifra real supere esta, debido al pico de ataques de ransomware que se suele observar durante los meses de junio y julio.
Con respecto a los actores de Ransomware, la entidad Statista resumió las tendencias y ataques de ransomware más comunes de 2022. Las últimas actualizaciones de ransomware muestran las principales variantes notificadas por Malwarebytes en 2022. Eran Lockbit, BianLian, DON#T, IceFire, Vice Society, Hive, ALPHV, AvosLocker, LV y Bl00dy. Lockbit fue cinco veces más popular que el segundo clasificado, BianLian.
Presencia de Ransomware en LATAM: Rhysida
Recientemente ha surgido un nuevo grupo de ransomware llamado Rhysida, en alusión a un tipo de ciempiés que habita en distintas partes del mundo. Fue descubierto este mes de mayo en la DeepWeb a la cual se puede acceder a través de la red TOR, su sitio está bajo un dominio [.]onion.
Rhysida se despliega de múltiples maneras. Los métodos principales incluyen el despliegue a través de Cobalt Strike o un marco similar, y a través de campañas de phishing.
Las muestras analizadas del ransomware Rhysida indican que el grupo se encuentra en las primeras fases del ciclo de desarrollo. Las cargas útiles carecen de muchas funciones básicas, como la eliminación de VSS, que son sinónimo del ransomware actual. Dicho esto, el grupo amenaza a las víctimas con la distribución pública de los datos filtrados, lo que les sitúa en la línea de los grupos de multiextorsión actuales.
Cuando se ejecuta, Rhysida muestra una ventana cmd.exe mientras recorre todos los archivos de todas las unidades locales. Las víctimas deben ponerse en contacto con los atacantes a través de su portal basado en TOR, utilizando su identificador único proporcionado en las notas de rescate. Rhysida sólo acepta pagos en BTC (Bitcoin) y proporciona a las víctimas información sobre la compra y uso de BTC en el portal de víctimas. Al proporcionar su identificador único al portal de pago, se ofrece un formulario adicional que permite a las víctimas proporcionar más información a los atacantes con fines de autenticación y datos de contacto.
Las notas de rescate de Rhysida se escriben como documentos PDF en las carpetas afectadas de las unidades objetivo.
Hasta el momento no se sabe la cantidad ni cuales organizaciones han sido víctimas de este ransomware, sin embargo, es indispensable siempre tener conocimiento de estos nuevos grupos que pueden llegar a desarrollar nuevas técnicas de acceso inicial y evasión.
IoC
| Tipo | IoC |
| Hash | 0c8e88877383ccd23a755f429006b437 |
| Hash | 69b3d913a3967153d1e91ba1a31ebed839b297ed |
| File name | fury_ctm1042.bin |
| SHA256 | a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6 |
| MD5 | 382e4022f901ebc2fa15a168a8dc5a20 |
Cómo el ransomware está evadiendo las distintas defensas de ciberseguridad
Las arquitecturas de ciberseguridad son diversas y se componen de una amplia gama de herramientas que van desde las tecnologías heredadas a las de vanguardia. Sin embargo, muchas organizaciones, desde pequeños negocios hasta proveedores de servicios y empresas, confían en esta «tríada» de herramientas de seguridad para defender su infraestructura de red. He aquí una lista limitada de algunas formas nuevas y comunes en que los grupos de ransomware evaden estas defensas.
Seguridad del correo electrónico
Ofuscación: La ofuscación es la práctica de hacer que el código o las actividades maliciosas sean poco claros, difíciles de entender e indetectables para la seguridad del correo electrónico. Los atacantes pueden ofuscar sus intentos de phishing mezclándose con tráfico legítimo o suplantando direcciones de correo electrónico legítimas.
HTML Smuggling: Consiste en insertar un código HTML y javascript malicioso en un correo electrónico, permitiendo comunicaciones que normalmente no estarían permitidas por la seguridad del correo electrónico. Aunque esta práctica no es nueva y es bastante fácil de prevenir, sigue siendo una práctica común de la que son víctimas los usuarios finales.
Phishing en la nube: Consiste en apoderarse de servicios basados en la nube como el almacenamiento en la nube, el intercambio de archivos o las herramientas de colaboración. Los atacantes pueden entonces utilizar estas herramientas anteriormente legítimas para alojar archivos o datos maliciosos.
Suplantación de dominios: Consiste en crear un sitio web que suplanta a una página legítima. A menudo, los atacantes se hacen pasar por la página de inicio de sesión de un sitio web de confianza, que luego se utiliza para capturar contraseñas, información personal o datos de tarjetas de crédito.
Cortafuegos
Salto de puertos: Es una técnica utilizada para evadir cortafuegos y herramientas de seguridad diseñadas para detectar y bloquear la actividad de escaneo de puertos. Esta técnica consiste en escanear una serie de puertos en un sistema objetivo, pero en lugar de escanear todos los puertos en secuencia, el atacante salta de uno a otro aleatoriamente para evitar ser detectado. Al saltar de un puerto a otro, el atacante puede dificultar la detección de su actividad por parte de las herramientas de seguridad.
Tráfico cifrado: Es una técnica cada vez más común utilizada por los atacantes para eludir las defensas del cortafuegos ocultando el tráfico malicioso dentro de paquetes cifrados. Los atacantes pueden utilizar técnicas como el cifrado SSL/TLS para ocultar su actividad y evitar ser detectados por las herramientas de seguridad.
Suplantación de IP: En el IP Spoofing, los atacantes modifican las direcciones IP en las barras de direcciones de sus paquetes de red. De este modo los cortafuegos que se basan en el conocimiento de las direcciones IP maliciosas para bloquear o identificar el tráfico malicioso son burlados.
Túnel de protocolo: El túnel de protocolo se utiliza para disfrazar el tráfico de red y eludir las defensas del cortafuegos encapsulando el tráfico malicioso dentro de HTTP, DNS u otro protocolo de red legítimo. A menudo se puede utilizar una VPN para tunelizar el tráfico malicioso desde una ubicación insegura a la red.
EDR/XDR
Inyección de código: La inyección de código permite a los atacantes insertar código malicioso a través de diversas técnicas, como el vaciado de procesos, la creación de un hilo remoto, la técnica «Early Bird» o el «Atom bombing». Un estudio reciente descubrió que el 65% de los EDR y EPP son vulnerables a la técnica Early Bird, que utiliza QueueUserAPC() para poner en cola un APC de modo usuario a otra amenaza para la inyección de código.
Carga lateral del panel de control: Los archivos CPL fueron creados por Microsoft para proporcionar un acceso rápido a varias herramientas del Panel de Control de Windows. CPL Side-Loading utiliza estos archivos para ocultar software malicioso. Dado que las soluciones EDR buscan y bloquean los archivos ejecutables maliciosos, este método es una forma razonablemente fácil de evitar su detección.
DLL Side-Loading: La carga lateral de DLL engaña a una aplicación para que cargue un archivo DLL (Dynamic Link Library) malicioso en lugar de uno auténtico. Los atacantes no se limitan a esperar a que la aplicación sea ejecutada por un usuario, sino que utilizan la
aplicación de confianza para ejecutar su código DLL malicioso.
Enganche de API: Windows permite a sistemas como los EDR y los EPPS detectar cambios en otras aplicaciones a través del «API hooking», que consiste en interceptar eventos, mensajes y llamadas entre API del sistema operativo. Sin embargo, el ‘Userland API Hooking’ es una técnica en la que los atacantes interceptan las llamadas API utilizando estos permisos para modificar las aplicaciones para sus fines maliciosos.
ChatGPT: Los investigadores en ciberseguridad utilizaron recientemente ChatGPT para crear una prueba de concepto llamada Black Mamba, un keylogger polimórfico capaz de modificar dinámicamente su código sin infraestructura de mando y control. La prueba de concepto muestra cómo los modelos de aprendizaje del lenguaje están creando nuevos retos de detección y bloqueo para los EDR.
Ante esto, ¿Cómo podemos protegernos?
Los grupos de ransomware pueden evadir o eludir cualquier solución de ciberseguridad aislada de muchas maneras diferentes. Ya se trate de un EDR, XDR, cortafuegos, seguridad de correo electrónico o cualquier otra solución aislada, cualquier solución de ciberseguridad aislada proporciona una defensa insuficiente. Por eso la mayoría de los expertos en ciberseguridad aconsejan una estrategia de defensa en profundidad compuesta por una pila de herramientas. Y lo que es más importante, demuestra lo importante que es que una pila de ciberseguridad esté integrada, de modo que las herramientas de dicha pila puedan «hablar» entre sí y trabajar juntas para iluminar los puntos ciegos.
Detectar y responder a tiempo al malware precursor es esencial para detener un ataque antes de que pase a la fase de ransomware. Manteniéndose alerta y tomando medidas proactivas para proteger sus sistemas, las organizaciones pueden reducir el riesgo de que un ataque de ransomware tenga éxito y minimizar el impacto de cualquier ataque que se produzca.
Referencia:
