Fuga del Constructor de LockBit 3.0 Conduce a Nuevas Variantes
La filtración del constructor de ransomware LockBit 3.0 el año pasado ha llevado a los actores de amenazas a abusar de la herramienta para generar nuevas variantes.
Kaspersky, una empresa de ciberseguridad rusa, detectó una intrusión de ransomware que desplegó una versión de LockBit con un procedimiento de demanda de rescate notablemente diferente.
NATIONAL HAZARD AGENCY: Un Nuevo Actor
El atacante detrás de este incidente decidió usar una nota de rescate diferente con un encabezado relacionado con un grupo previamente desconocido, llamado NATIONAL HAZARD AGENCY.
A diferencia del grupo LockBit, esta nota especificaba directamente la cantidad a pagar y dirigía las comunicaciones a un servicio Tox y correo electrónico.
Uso del Constructor Filtrado
NATIONAL HAZARD AGENCY no es el único grupo cibercriminal que utiliza el constructor filtrado de LockBit 3.0. Otros actores de amenazas conocidos que lo utilizan incluyen a Bl00dy y Buhti.
Kaspersky detectó un total de 396 muestras distintas de LockBit, de las cuales 312 fueron creadas usando los constructores filtrados.
Ransomware ADHUBLLKA
Netenrich investigó una cepa de ransomware llamada ADHUBLLKA que ha sido rebrandeada varias veces desde 2019, mientras que se enfocaba en individuos y pequeñas empresas.
A pesar de las ligeras modificaciones en esquemas de cifrado y notas de rescate, todas estas iteraciones se relacionan con ADHUBLLKA debido a similitudes en el código fuente e infraestructura.
Evolución Activa del Ransomware
El ransomware sigue siendo un ecosistema en constante evolución, con cambios frecuentes en tácticas y objetivos. Las familias como Trigona, Monti y Akira están enfocándose cada vez más en entornos Linux. Akira ha sido vinculado a ataques que utilizan productos VPN de Cisco como vector de ataque.
Aumento Récord en Ataques de Ransomware
El grupo de ransomware Cl0p ha comprometido a más de 1,000 organizaciones conocidas explotando fallos en la aplicación MOVEit Transfer.
Las entidades basadas en EE.UU. representan el 83.9% de las víctimas corporativas. Se estima que los actores de amenazas obtendrán ganancias ilícitas en el rango de $75 millones a $100 millones.
Tiempo de Permanencia de Ransomware
Según el Informe de Adversario Activo 2023 de Sophos, el tiempo de permanencia mediano para incidentes de ransomware disminuyó de nueve días en 2022 a cinco días en la primera mitad de 2023.
En contraste, el tiempo de permanencia mediano para incidentes no relacionados con ransomware aumentó de 11 a 13 días.
Conclusión
Los ataques de ransomware continúan evolucionando y adaptándose, con actores de amenazas buscando constantemente nuevas formas de maximizar sus ganancias y evadir la detección.
Las organizaciones deben estar alerta y adoptar medidas proactivas para protegerse contra estas amenazas en constante cambio.