Kaspersky ha identificado al menos ocho grupos involucrados en el desarrollo y distribución de ransomware de cifrado.
Los analistas de Kaspersky Lab han descubierto una nueva y alarmante tendencia: cada vez más cibercriminales están desviando su atención desde usuarios privados hacia ataques de ransomware contra empresas. Se han identificado al menos ocho grupos involucrados en el desarrollo y distribución de ransomware de cifrado. Los ataques han afectado principalmente a organizaciones financieras de todo el mundo. Los expertos de Kaspersky Lab han encontrado casos en los que las solicitudes de pago ascendieron a más de 470.000 euros.
Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado a organizaciones financieras de todo el mundo, el grupo Mamba y seis grupos más que también se dirigen a usuarios corporativos. Cabe señalar que estos seis grupos han estado involucrados en ataques dirigidos, principalmente a usuarios privados, y usaron modelos de programas de afiliados. Ahora, han reorientado sus esfuerzos hacia las redes corporativas.
Según los analistas de Kaspersky Lab, el motivo de esta tendencia es claro: los ciberdelincuentes consideran que los ataques de ransomware dirigidos contra empresas son potencialmente más rentables que los ataques masivos a usuarios privados. Un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio durante horas o incluso días, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate.
En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan la organización con malware a través de servidores vulnerables o lanzan correos electrónicos de phishing. Luego establecen persistencia en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, solicitando posteriormente un rescate a cambio del descifrado. Además de sus similitudes, algunos grupos tienen sus propias características únicas.
Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los ciberatacantes ganan un punto de apoyo en la red, instalan el cifrador usando un recurso legal para el control remoto de Windows. Este enfoque hace que las acciones sean menos sospechosas para los responsables de ciberseguridad de la empresa seleccionada. Los analistas de Kaspersky Lab han encontrado casos en los que el rescate ascendió a un bitcoin (alrededor de 940.000 euros hasta finales de marzo de 2017) por cada endpoint descifrado.
Otro ejemplo único de herramientas utilizadas en ataques de ransomware dirigidos viene de PetrWrap. Este grupo se dirige principalmente a grandes empresas que cuentan con un gran número de nodos. Los cibercriminales seleccionan cuidadosamente los blancos para cada ataque que puede durar bastante tiempo: PetrWrap ha conseguido “persistir” en una red hasta 6 meses.
«Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando. Hay muchos más objetivos potenciales de ransomware y las consecuencias de estos ataques son cada vez más desastrosas«, afirma Anton Ivanov, analista de seguridad senior, Anti-Ransom, Kaspersky Lab.
Fuente: computing.es
