Los equipos de seguridad empresarial pueden agregar tres variantes de ransomware más a la lista en constante crecimiento de amenazas de ransomware que necesitan monitorear.
Las tres variantes, Vohuk, ScareCrow y AESRT, como la mayoría de las herramientas de ransomware, se dirigen a los sistemas Windows y parecen estar proliferando con relativa rapidez en los sistemas que pertenecen a usuarios en varios países. Los investigadores de seguridad de FortiGuard Labs de Fortinet que están rastreando las amenazas esta semana describieron las muestras de ransomware como ganando terreno dentro de la base de datos de ransomware de la compañía.
análisis de fortinet de las tres amenazas mostraron que eran herramientas de ransomware estándar del tipo que, sin embargo, han sido muy eficaces para cifrar datos en sistemas comprometidos. La alerta de Fortinet no identificó cómo los operadores de las nuevas muestras de ransomware están distribuyendo su malware, pero señaló que el correo electrónico de phishing ha sido típicamente el vector más común para las infecciones de ransomware.
Un número creciente de variantes
“Si el crecimiento del ransomware en 2022 indica lo que depara el futuro, los equipos de seguridad de todo el mundo deberían esperar que este vector de ataque se vuelva aún más popular en 2023”, dice Fred Gutiérrez, ingeniero de seguridad sénior de FortiGuard Labs de Fortinet.
Solo en la primera mitad de 2022, la cantidad de nuevas variantes de ransomware que identificó FortiGuard Labs aumentó casi un 100 % en comparación con el período anterior de seis meses, dice. El equipo de FortiGuard Labs documentó 10,666 2022 nuevas variantes de ransomware en la primera mitad de 5,400 en comparación con solo 2021 en la segunda mitad de XNUMX.
“Este crecimiento en nuevas variantes de ransomware se debe principalmente a que más atacantes aprovechan el ransomware-as-a-service (RaaS) en la Dark Web”, dice.
Agrega: "Además, quizás el aspecto más preocupante es que estamos viendo un aumento en los ataques de ransomware más destructivos a escala y en prácticamente todos los tipos de sectores, que esperamos que continúen en 2023".
Variedades de ransomware estándar pero efectivas
La variante del ransomware Vohuk que analizaron los investigadores de Fortinet parecía estar en su tercera iteración, lo que indica que sus autores la están desarrollando activamente.
El malware deja caer una nota de rescate, "README.txt", en los sistemas comprometidos que les pide a las víctimas que se comuniquen con el atacante por correo electrónico con una identificación única, dijo Fortinet. La nota informa a la víctima que el atacante no tiene motivaciones políticas, sino que solo está interesado en obtener ganancias financieras, presumiblemente para asegurar a las víctimas que recuperarán sus datos si pagan el rescate exigido.
Mientras tanto, "ScareCrow es otro ransomware típico que encripta archivos en las máquinas de las víctimas", dijo Fortinet. "Su nota de rescate, también titulada 'readme.txt', contiene tres canales de Telegram que las víctimas pueden usar para hablar con el atacante".
Aunque la nota de rescate no contiene demandas financieras específicas, es seguro asumir que las víctimas deberán pagar un rescate para recuperar los archivos que fueron encriptados, dijo Fortinet.
La investigación del proveedor de seguridad también mostró cierta superposición entre ScareCrow y el infame Variante del ransomware Conti, una de las herramientas de ransomware más prolíficas de la historia. Ambos, por ejemplo, utilizan el mismo algoritmo para cifrar archivos y, al igual que Conti, ScareCrow elimina las instantáneas utilizando la utilidad de línea de comandos WMI (wmic) para hacer que los datos sean irrecuperables en los sistemas infectados.
Los envíos a VirusTotal sugieren que ScareCrow ha infectado sistemas en los Estados Unidos, Alemania, Italia, India, Filipinas y Rusia.
Y finalmente, AESRT, la tercera nueva familia de ransomware que Fortinet detectó recientemente, tiene una funcionalidad similar a las otras dos amenazas. La principal diferencia es que, en lugar de dejar una nota de rescate, el malware muestra una ventana emergente con la dirección de correo electrónico del atacante y un campo que muestra una clave para descifrar los archivos cifrados una vez que la víctima ha pagado el rescate exigido.
¿Crypto-Collapse ralentizará la amenaza del ransomware?
Las nuevas variantes se suman a la larga, y en constante crecimiento, lista de amenazas de ransomware con las que las organizaciones ahora tienen que lidiar a diario, ya que los operadores de ransomware siguen atacando sin descanso a las organizaciones empresariales.
Los datos sobre ataques de ransomware que LookingGlass analizó a principios de este año mostraron que hubo algunos 1,133 ataques de ransomware confirmados solo en la primera mitad de 2022, más de la mitad (52%) de los cuales afectaron a empresas estadounidenses. LookingGlass descubrió que el grupo de ransomware más activo era el que estaba detrás de la variante LockBit, seguido de los grupos detrás de los ransomware Conti, Black Basta y Alphy.
Sin embargo, la tasa de actividad no es constante. Algunos proveedores de seguridad informaron haber observado una ligera desaceleración en la actividad de ransomware durante ciertas épocas del año.
En un informe de mitad de año, SecureWorks, por ejemplo, dijo que sus compromisos de respuesta a incidentes en mayo y junio sugirieron que la velocidad a la que ocurrían nuevos ataques exitosos de ransomware se había ralentizado un poco.
SecureWorks identificó que la tendencia probablemente tenga que ver, al menos en parte, con la interrupción de la operación de Conti RaaS este año y otros factores como la efecto disruptivo de la guerra en Ucrania en bandas de ransomware.
Otro informe, del Identity Theft Resource Center (ITRC), informó una disminución del 20% en los ataques de ransomware eso resultó en una brecha durante el segundo trimestre de 2022 en comparación con el primer trimestre del año. ITRC, al igual que SecureWorks, identificó la disminución como relacionada con la guerra en Ucrania y, significativamente, con el colapso de las criptomonedas que los operadores de ransomware prefieren para los pagos.
Bryan Ware, director ejecutivo de LookingGlass, dice que cree que el colapso criptográfico podría obstaculizar a los operadores de ransomware en 2023.
“El reciente escándalo de FTX ha hecho que las criptomonedas se derrumben, y esto afecta la monetización del ransomware y esencialmente lo hace impredecible”, dice. "Esto no es un buen augurio para los operadores de ransomware, ya que tendrán que considerar otras formas de monetización a largo plazo".
Ware dice que tendencias en torno a las criptomonedas tiene algunos grupos de ransomware que están considerando usar sus propias criptomonedas: "No estamos seguros de que esto se materialice, pero en general, a los grupos de ransomware les preocupa cómo monetizarán y mantendrán cierto nivel de anonimato en el futuro".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
