En 2024, los ataques de ransomware a nivel mundial alcanzaron los 5.414, un
aumento del 11% con respecto a 2023. Tras un comienzo lento, los ataques
aumentaron en el segundo trimestre y aumentaron en el cuarto trimestre, con
1.827 incidentes (el 33% del total del año).
Las acciones de las fuerzas de seguridad contra grupos importantes como
LockBit provocaron fragmentación, lo que
generó más competencia y un aumento de bandas más pequeñas. El número de grupos de ransomware activos aumentó un 40%, de 68 en 2023 a
95 en 2024.
Nuevos grupos de ransomware a tener en cuenta
En 2023, solo hubo 27 grupos nuevos. En 2024, se produjo un aumento
espectacular con 46 grupos nuevos detectados. A medida que avanzaba el año, la
cantidad de grupos se aceleró y en el cuarto trimestre de 2024 hubo 48 grupos
activos.
De los 46 grupos de ransomware nuevos de 2024, RansomHub se convirtió en el
dominante, superando la actividad de LockBit. El equipo de investigación de
Cyberint, ahora una empresa de Check Point, investiga constantemente los grupos de ransomware más recientes
y los analiza para determinar su posible impacto.
Lea el
«Informe sobre ransomware 2024»
de Cyberint, para tener un desglose de los 3 principales grupos de ransomware
recién llegados a la industria, arrestos y noticias, y pronósticos para 2025.
Ransomhub
RansomHub se ha convertido en el grupo líder de ransomware en 2024, y ha
reivindicado 531 ataques a su sitio de fuga de datos desde que comenzó a
operar en febrero de 2024. Tras la interrupción de
ALPHV
por parte del FBI, RansomHub es percibido como su «sucesor espiritual», que
podría incluir a antiguos afiliados.
RansomHub, que funciona como un ransomware como servicio (RaaS), aplica
estrictos acuerdos de afiliación y exige un estricto cumplimiento de los
acuerdos de afiliación, cuyo incumplimiento da lugar a prohibiciones y a la
terminación de las asociaciones. Ofrece una división del rescate del 90/10,
afiliados/grupo principal.
Si bien afirma contar con una comunidad de hackers global, RansomHub evita
apuntar a las naciones de la CEI, Cuba, Corea del Norte, China y
organizaciones sin fines de lucro, y exhibe características de una
configuración de ransomware rusa tradicional. Su evitación de las naciones
afiliadas a Rusia y la superposición con otros grupos de ransomware rusos en
las empresas atacadas resaltan aún más sus posibles conexiones con el
ecosistema de ciberdelincuencia de Rusia.
Los
hallazgos de Cyberint de agosto de 2024
indican una tasa de pago baja: solo el 11,2% de las víctimas pagaron (20 de
190), y las negociaciones a menudo redujeron las demandas. RansomHub prioriza
el volumen de ataques sobre las tasas de pago, aprovechando la expansión de
afiliados para garantizar la rentabilidad, con el objetivo de generar ingresos
sustanciales a lo largo del tiempo a pesar del bajo éxito de pago individual.
El ransomware de RansomHub, desarrollado en Golang y C++, ataca a Windows,
Linux y ESXi, y se distingue por su cifrado rápido. Las similitudes con el
ransomware de GhostSec sugieren una tendencia.
RansomHub garantiza el descifrado gratuito si los afiliados no lo proporcionan
después del pago o si atacan a organizaciones prohibidas. Su ransomware cifra
los datos antes de la exfiltración. Los patrones de ataque sugieren posibles
vínculos con ALPHV, lo que indica que se podrían utilizar herramientas y
procedimientos similares.
La investigación de Sophos destaca paralelismos con Knight Ransomware,
incluidas las cargas útiles en lenguaje Go ofuscadas con GoObfuscate y
comandos idénticos.
Ransomware Fog
El ransomware Fog apareció a principios de abril de 2024 y atacaba las redes
educativas de EE.UU. mediante el uso de credenciales VPN robadas. Utilizan una
estrategia de doble extorsión: publican datos en un sitio de filtración basado
en TOR si las víctimas no pagan.
En 2024, atacaron a 87 organizaciones en todo el mundo. Un informe de Arctic
Wolf de noviembre de 2024 mostró que Fog inició al menos 30 intrusiones, todas
a través de cuentas VPN de SonicWall comprometidas. Cabe destacar que el 75 %
de estas intrusiones estaban vinculadas a Akira, y el resto se atribuyó a Fog,
lo que sugiere una infraestructura y colaboración compartidas.
Fog se dirige principalmente a la educación, los servicios empresariales, los
viajes y la fabricación, con especial atención a EE. UU. Curiosamente, Fog es
uno de los pocos grupos de ransomware que priorizan el sector educativo como
su objetivo principal.
El ransomware Fog ha demostrado una velocidad alarmante: el tiempo más corto
observado desde el acceso inicial hasta el cifrado fue de solo dos horas. Sus
ataques siguen una cadena de ataque típica de ransomware, que abarca la
enumeración de la red, el movimiento lateral, el cifrado y la exfiltración de
datos. Existen versiones del ransomware para plataformas Windows y Linux.
Lynx
Lynx es un grupo de ransomware de doble extorsión que ha estado muy activo
últimamente y que muestra muchas empresas víctimas en su sitio web. Afirman
que evitan atacar a organizaciones gubernamentales, hospitales, grupos sin
fines de lucro y otros sectores sociales esenciales.
Una vez que obtienen acceso a un sistema, Lynx cifra los archivos y les agrega
la extensión «.LYNX». Luego, colocan una nota de rescate llamada «README.txt»
en varios directorios. Solo en 2024, Lynx cobró más de 70 víctimas, lo que
demuestra su actividad continua y su presencia significativa en el panorama
del ransomware.
Fuente:
THN