Seguridad

Los grupos de ransomware más peligrosos de 2023

Concepto de seguridad cibernética de ransomware.Imagen: Nicescene/Adobe Stock

2023 es otro año más en el que el ransomware demuestra ser una de las ciberamenazas más perniciosas del mundo. Dirigiéndose a víctimas grandes y pequeñas, las pandillas de ransomware han demostrado que aún pueden causar estragos a pesar de los esfuerzos de las fuerzas del orden público y del gobierno para tomar medidas enérgicas contra ellos. Aunque estos grupos delictivos son omnipresentes en el ciberespacio, algunos de ellos son particularmente peligrosos y destructivos en los ataques de ransomware durante todo el año. A continuación se muestran cuatro de estos grupos de ransomware.

VER: Política de respuesta a incidentes de seguridad (Tecnopedia Premium)

ALPHV (Gato Negro)

ALPHV, también conocido como BlackCat, se centra en el ransomware como servicio, donde entrega el malware y la infraestructura necesarios a los afiliados, quienes luego llevan a cabo el ataque real. Aunque ALPHV apareció en 2023, parece ser un recién llegado al mundo del ransomware y, según se informa, está vinculado al grupo BlackMatter/DarkSide responsable del infame ataque de ransomware de 2023 en Colonial Pipeline.

Cómo funciona ALPHV

Informes de seguridad de lectura obligada

ALPHV se infiltra en sus víctimas explotando agujeros de seguridad conocidos o credenciales de cuentas vulnerables, lo que obliga a las organizaciones a pagar un rescate mediante el lanzamiento de ataques distribuidos de denegación de servicio contra ellos. Al grupo también le gusta exponer archivos robados a través de motores de búsqueda para encontrar víctimas de violaciones de datos.

Según Brad Crompton, director de inteligencia del proveedor de inteligencia de amenazas cibernéticas Intel 471, el grupo se dirige a organizaciones públicas y sin fines de lucro, así como a grandes corporaciones. En el tercer trimestre de este año, esta variante de ransomware afectó a 30 organizaciones, afectando negocios inmobiliarios, servicios profesionales y empresas de consultoría, fabricantes de productos industriales y de consumo, y empresas de tecnología. En septiembre, ALPHV fue elogiado por atacar aeropuertos, operadores de oleoductos, gasolineras, refinerías y otros proveedores de infraestructura crítica.

LEER  Cómo evitar que los trabajadores remotos generen incidentes de seguridad: 3 consejos

basta negra

Según los informes, el grupo RaaS Black Basta surgió en abril de 2023 y está compuesto por ex miembros de las pandillas de ransomware Conti y REvil, con quienes comparten tácticas, técnicas y procedimientos similares. Con equipos altamente calificados y experimentados y miembros afiliados, Black Basta se ha abierto paso cada vez más en las organizaciones al explotar vulnerabilidades de seguridad sin parches y código fuente disponible públicamente, dijo Crompton.

¿Cómo ataca Black Basta a sus víctimas?

Black Basta a menudo emplea técnicas de doble extorsión, amenazando con filtrar públicamente los datos robados a menos que se pague un rescate. El grupo también implementa ataques DDoS para convencer a las víctimas de que paguen el rescate. En algunos casos, los miembros de Black Basta han exigido millones de dólares a sus víctimas para mantener la privacidad de los datos robados.

Los ataques de ransomware Black Basta afectaron a 50 organizaciones en el tercer trimestre de 2023, según Intel 471. Las industrias más afectadas por estos ataques de ransomware incluyen productos de consumo e industriales, servicios profesionales y consultoría, tecnología y medios, y ciencias de la vida y atención médica. Entre los diferentes países, Estados Unidos fue el mayor objetivo del grupo este trimestre, representando el 62% de todos los ataques informados.

panal

Hive surgió a principios de 2023 y se ganó rápidamente la reputación de ser uno de los grupos de ransomware más activos. Según el informe March Cyber ​​​​Threat Pulse de NCC, la cantidad de ataques de este grupo solo aumentó un 188 por ciento de febrero a marzo. Intel471 dijo que esta variante de ransomware también fue una de las cuatro variantes más observadas en el tercer trimestre de este año.

¿A qué tipos de empresas se dirige Hive?

Hive se ha centrado tradicionalmente en el sector industrial, pero también se ha centrado en los servicios académicos y educativos, así como en las empresas científicas y sanitarias, así como en los negocios de energía, recursos y agricultura. El ransomware Hive llegó a 15 países en el último trimestre, siendo EE. UU. y el Reino Unido los dos objetivos principales, respectivamente.

El grupo es rápido y supuestamente encripta cientos de megabytes a más de 4 gigabytes de datos por minuto. Para ayudar a llevar a cabo el ataque, Hive emplea probadores de penetración, proxies de acceso y actores de amenazas, dijo Crompton. En agosto de 2023, los operadores del supuesto ransomware Hive informaron que usaban correos electrónicos de phishing como vector de ataque inicial.

cerrar

Según Intel 471, el ransomware LockBit 3.0 siguió siendo la variante más destacada en 2023 con 192 ataques en el tercer trimestre. La nueva variante afectó a 41 países, siendo Estados Unidos el principal objetivo, seguido de Francia, Italia, Taiwán y Canadá. Las industrias más afectadas por LockBit son los servicios profesionales, la consultoría y la fabricación, los productos industriales y de consumo y el sector inmobiliario.

Según los informes, la variante LockBit 3.0 se anunció por primera vez en el segundo trimestre de 2023 e incluye un blog de violación de datos actualizado, un programa de recompensas por errores y nuevas características para el ransomware en sí. Según Intel 471, el concepto de recompensa por errores fue iniciado por un grupo de ransomware, y LockBit ofrece hasta $ 1 millón a cualquiera que encuentre vulnerabilidades en el malware del grupo, los sitios que avergüenzan a las víctimas, la red Tor y su servicio de mensajería.

¿Cómo realiza LockBit un ataque de ransomware?

A diferencia de otros grupos de ransomware, según se informa, LockBit prefiere ataques de bajo perfil y trata de evitar los titulares, dijo Crompton. La pandilla ha estado desarrollando y ajustando sus TTP y software. LockBit también ejecuta un programa propietario de robo de información llamado StealBit. En lugar de actuar como un ladrón de información típico que recopila datos de un navegador, StealBit es un capturador de archivos que rápidamente clona archivos de la red de una víctima a la infraestructura controlada por LockBit en una fracción del tiempo.

«Estos grupos de ransomware son intrínsecamente peligrosos por varias razones», dijo Crompton a Tecnopedia. «En general, estos grupos tienen un buen malware y una buena infraestructura, equipos de negociación experimentados y herramientas personalizadas para hacer que los ataques de ransomware sean más inmediatos, atrayendo así a más afiliados a sus grupos».

¿Cómo pueden las organizaciones protegerse de los ataques de ransomware de estos grupos?

Crompton comparte los siguientes consejos:

  • Asegúrese de que la autenticación multifactor esté en su lugar.
  • Adopte una política de contraseñas seguras para evitar la reutilización de contraseñas antiguas o similares.

Si su organización necesita orientación sobre cómo establecer una política de administración de contraseñas, Tecnopedia Premium tiene una política con detalles como las mejores prácticas.

  • Supervise las amenazas internas y cualquier tipo de acceso comprometido a su propia organización y a terceros.
  • Realizar auditorías de seguridad frecuentes.
  • Esté atento a todas las cuentas privilegiadas para evitar compromisos.
  • Llevar a cabo capacitaciones de concientización sobre phishing para todos los empleados.
  • No priorice la productividad sobre la seguridad, ya que esto puede hacer que su organización sea más vulnerable a los ataques de ransomware que podrían causar algo peor que la pérdida de productividad.

LEER  SoloKeys Solo V2 es la forma rápida y fácil de aumentar su seguridad personal en línea

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba