El año pasado, se filtró el generador de ransomware LockBit 3.0, lo que llevó a los atacantes a hacer un mal uso de la herramienta para generar nuevas variantes.
La empresa rusa de ciberseguridad Kaspersky dijo que detectó una intrusión de ransomware que implementaba una versión de LockBit, pero con un programa de ransomware significativamente diferente.
Los investigadores de seguridad Eduardo Ovalle y Francesco Figurelli dijeron que los atacantes detrás de este incidente estaban usando un programa de ransomware diferente con el mismo título que una organización anteriormente denominada NATIONAL HAZARD AGENCY.
La nota de rescate renovada especifica directamente el monto de pago requerido para obtener la clave de descifrado y dirige las comunicaciones al servicio Tox y al correo electrónico, a diferencia del grupo LockBit, que no menciona el monto y utiliza su propia plataforma de comunicación y negociación.
NATIONAL HAZARD AGENCY no es la única banda de cibercriminales que utiliza el generador LockBit 3.0 filtrado. Otros actores de amenazas conocidos por explotarlo incluyen a Bl00dy y Buhti.
Kaspersky señaló que detectó un total de 396 muestras LockBit diferentes en su telemetría, 312 de las cuales fueron creadas utilizando el constructor filtrado. Hasta 77 muestras no mencionaban "LockBit" en la nota de rescate.
Muchos de los parámetros detectados son consistentes con la configuración predeterminada del generador, con sólo algunos cambios menores, dijeron los investigadores.
La divulgación se produce cuando Netrich investiga una cepa de ransomware llamada ADHUBLLKA, que ha cambiado de nombre varias veces desde 2019 (BIT, LOLKEK, OBZ, U2K y TZW) y cuyos objetivos principales son individuos y pequeñas empresas, obtienen rescates de bajo costo (entre $800 y $1600).
Si bien estas iteraciones han modificado ligeramente los esquemas de cifrado, las notas de rescate y los métodos de comunicación, una mirada más cercana revela que todas están relacionadas con ADHUBLLKA debido a similitudes en el código fuente y la infraestructura.
Cuando una pieza de ransomware tiene éxito en la naturaleza, los ciberdelincuentes suelen utilizar la misma muestra de ransomware (con ligeros ajustes en su código base) para probar otros proyectos, dijo el investigador de seguridad Rakesh Krishnan.
Por ejemplo, podrían cambiar el esquema de cifrado, la nota de rescate o el canal de comunicación de comando y control (C2) y luego empaquetarse como el "nuevo" ransomware.
El ransomware sigue siendo un ecosistema en evolución activa, con cambios frecuentes en tácticas y objetivos.
El desarrollo también se produce en medio de un aumento récord en los ataques de ransomware, con el grupo de ransomware Cl0p comprometiendo a 1.000 organizaciones conocidas al explotar vulnerabilidades en la aplicación MOVEit Transfer para obtener acceso inicial y cifrar redes específicas.
Entre las víctimas corporativas, las entidades estadounidenses representaron el 83,9 por ciento, seguidas por Alemania (3,6 por ciento), Canadá (2,6 por ciento) y el Reino Unido (2,1 por ciento). Se dice que más de 60 millones de personas se han visto afectadas.
Sin embargo, el radio de daño de un ataque de ransomware a la cadena de suministro puede ser mucho mayor. Según estimaciones, se espera que los atacantes obtengan entre 75 y 100 millones de dólares en ganancias ilícitas con sus actividades.
"Si bien la campaña MOVEit podría terminar impactando directamente a más de 1.000 empresas, y un orden de magnitud más indirectamente, sólo un puñado de víctimas intentó negociar, y mucho menos considerar pagar", dijo Coveware.
Aquellos que pagaron rescates pagaron mucho más que campañas CloP anteriores y múltiplos del monto promedio global del rescate de $740,144 (un aumento del 126% desde el primer trimestre de 2023).
Es más, según el Informe de adversarios activos de Sophos 2023, el tiempo medio de permanencia de los incidentes de ransomware se redujo de 9 días en 2022 a 5 días en la primera mitad de 2023, lo que indica que "las bandas de ransomware se están moviendo más rápido que nunca". ".
Por el contrario, el tiempo de permanencia medio para incidentes que no son de ransomware aumentó de 11 a 13 días. La estancia más larga observada durante este período fue de 112 días.
En el 81 por ciento de los ataques de ransomware, la carga útil final se lanzó fuera del horario comercial tradicional, mientras que solo cinco de los ataques de ransomware implementados durante el horario comercial ocurrieron entre semana, dijo la firma de ciberseguridad. Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado.