Siendo el arma preferida de muchos delincuentes para vulnerar a víctimas pequeñas, medianas y grandes, en busca de un pago seguro, fácil y confiable.
En este sentido, el panorama del ransomware continúa evolucionando de muchas maneras. Por ejemplo, la llegada de nuevos jugadores se mantiene constante, mientras que los grandes nombres ocasionalmente se retiran. Algunas bandas ejecutan operaciones complejas de ransomware como servicio (RaaS), recurriendo a especialistas en penetración de redes, negociaciones, desarrollo de malware y más.
¿En qué sentido está evolucionando el ecosistema de ransomware?
Los analistas de ciberseguridad, como la unidad de investigación de SILIKN, se mantienen rastreando una cantidad constante de rotación en el espacio de los atacantes de ransomware, incluida la llegada de bandas nuevas, al menos de nombre.
En el tercer trimestre de 2021 desaparecieron Avaddon, Noname y REvil, también conocido como Sodinokibi. Pero REvil regresó en septiembre, antes de desaparecer nuevamente, posiblemente debido a que las autoridades policiales lo interrumpieron. También en el tercer trimestre, aparecieron nombres, incluidos CryptBD, Grief, Hive, Karma, Thanos y Vice Society.
De igual manera en el tercer trimestre, el grupo de ransomware SynAck, que albergaba un sitio de filtración de datos llamado «File Leaks», se rebautizó a sí mismo como «El_Cometa». Los analistas señalan que el ransomware DoppelPaymer probablemente se renombró como el grupo de ransomware Grief, y se cree que el grupo de ransomware Karma es un cambio de marca de la banda de ransomware Nemty.
Ataques Ransomware
Independientemente de los nombres, un gran número de jugadores en el tercer trimestre parecen estar involucrados en un mayor volumen de ataques destacando una mayor democratización de las variantes emergentes de ransomware. Otro grupo que ha destacado es Conti, del cual se estima sea un sucesor de Ryuk, lo que podría explicar la disminución en las operaciones de ésta última, pero un marcado incremento de la actividad de Conti.
De igual forma, parece que una gran cantidad de grupos de ransomware permanecen activos, entre los que sobresalen los que han incluido víctimas en sus portales de filtración de datos: Avos Locker, BlackByte, BlackMatter, CLOP, Conti, Grief, LockBit 2.0, Midas, PYSA y Xing, por mencionar algunos.
Además, el pago promedio de los rescates aumentó en más del 50%, lo que sugiere que los atacantes han comenzado a centrarse más en las víctimas pequeñas y medianas, después de que el gobierno de Estados Unidos anunció una estrategia de ataque para detener el ransomware.
Los grupos
Cabe mencionar que las operaciones de los grupos cibercriminales de ransomware más pequeños han presentado innovaciones. Por ejemplo, algunas bandas aprovecharon la filtración en junio 2021 del desarrollador del ransomware Babuk como un bloque de construcción para lanzar su propio malware de cifrado y con él comenzaron a exigir rescates que valían miles de dólares.
Si bien robar datos de una víctima y amenazar con filtrarlos es una estrategia ampliamente practicada por las bandas de ransomware, no es infalible. Los desafíos son que una víctima, por supuesto, puede optar por no pagar y recuperar su información desde un respaldo seguro.
Además, muchos grupos de ransomware han experimentado dificultades para administrar los sitios de filtración de datos y alojar datos en la web oscura para su descarga, lo que ha provocado que algunas bandas expongan datos utilizando sitios web públicos para compartir archivos, como Mega o PrivatLab.