Las bandas de ransomware están volviéndose “benevolentes” y están dando más tiempo a las víctimas

Los analistas de amenazas han observado una tendencia inusual en las tácticas de los grupos de ransomware. Según sus observaciones, las fases iniciales de extorsión de las víctimas se están volviendo menos abiertas al público, ya que los atacantes tienden a usar publicaciones ocultas o anónimas.

Al no revelar el nombre de la víctima de inmediato, los agentes de ransomware brindan a sus objetivos una oportunidad más amplia de negociar el pago del rescate en secreto. Esto ocurre mientras mantienen un nivel de presión en forma de una futura fuga de datos.

KELA, un especialista israelí en ciberinteligencia, ha publicado su informe de ransomware del primer trimestre de 2022. El informe ilustra la tendencia antes mencionada y destaca varios cambios en el campo.

Principales actores y objetivos

En el primer trimestre de 2022, el número total de víctimas de ransomware se redujo en un significativo 40%. Específicamente, de 982 en el cuarto trimestre de 2021 a 698.

Eso se debió en parte al declive gradual de Conti y su eventual éxodo y también a que los grupos más nuevos no produjeron los mismos volúmenes de ataque que los que iniciaron en el trimestre anterior.

La corona de este período es para LockBit, la amenaza de ransomware más prolífica y destacada: LockBit logró 226 víctimas, casi las mismas que en el trimestre anterior.

De los nuevos actores de amenazas, Alphv representó el 8% y Karakurt el 5% de las víctimas publicadas, que son significativas pero no se acercan al 32% de LockBit o incluso al 18% de Conti.

El sector financiero registró un aumento intertrimestral del 40 % en el número de víctimas. Por otra parte, los servicios profesionales, la atención médica, la manufactura y la tecnología se mantuvieron estables entre los cinco sectores más atacados.

Finalmente, Estados Unidos encabezó la lista de los países más atacados con un 40%, seguido por Reino Unido, Italia, Alemania y Canadá. Francia, que anteriormente estaba entre los cinco primeros, no fue un objetivo en los últimos meses.

Acceso inicial

Los vendedores de acceso inicial siguen siendo un eslabón crucial en la cadena de ataques de ransomware. KELA detectó 116 vendedores de este tipo en el primer trimestre de 2022, lo que representa un aumento del 15 % en comparación con el trimestre anterior.

Algunos vendedores de acceso como “Novelli” han estado activos en los foros de ciberdelincuencia desde 2019, principalmente vendiendo acceso RDP. Sin embargo, otros como “Chiftlocal” aparecieron en el campo por primera vez en marzo de 2022.

Otro vendedor importante observado por los analistas de amenazas de KELA es “Pumpedkicks”, también conocido como “Mont4ana”. Pumpedkicks ofrece vulnerabilidades de SQL y credenciales de inicio de sesión para redes corporativas. Recientemente, ese actor también agregó acceso VPN a empresas y entidades gubernamentales estadounidenses.

¿Múltiples bandas atacan a la misma víctima?

KELA también ha visto una tendencia en la que algunos grupos, como Conti, Hive, AlphV y AvosLocker, publican datos de las mismas víctimas.

Si bien estas diferentes operaciones de ransomware  afirman haber realizado el ataque, tal parece que no es así. Expertos afirman que estos ataques provienen del mismo afiliado que está trabajando con múltiples bandas de ransomware.

Además, un informe reciente explica cómo la banda de ransomware Conti cerró sus operaciones. No obstante, sus miembros se han mudado a diferentes operaciones de Ransomware como servicio.

Es posible que los mismos ciberdelincuentes se hayan trasladado a diferentes bandas y continúen explotando a las víctimas de ataques anteriores.

Ocultar los nombres de las víctimas

La tendencia un tanto extraña que se desarrolló en el primer trimestre de 2022 es que las bandas de ransomware ocultan los nombres de sus víctimas. Generalmente solo las describen por su industria, tamaño y datos robados.

KELA observó esta táctica por parte de Midas, Lorenz y Everest, quienes amenazaron a la víctima con agregar su nombre al sitio de extorsión Tor si no pagaban el rescate.

Esta táctica también es utilizada por bandas de ransomware, que preparan páginas web ocultas en sus sitios de fugas de datos y le dan la URL solo a la víctima. Esto es para mostrar pruebas de los datos robados sin dañar su posición negociadora.

Cuando un grupo de ransomware publica inmediatamente el nombre de su víctima, a menudo destruye cualquier posibilidad de llegar a un resultado de negociación exitoso y recibir dinero. Al exponer el incidente a las autoridades, hacen imposible la recepción informal de grandes sumas.

A través de la práctica, algunos atacantes pueden haber descubierto que es preferible seguir un enfoque más cuidadoso y protegido, al menos en la primera etapa de la extorsión.