Varios investigadores indican que, mientras disminuyen los ataques de ransomware, los ataques al sector financiero no paran de aumentar. ¿Por qué está pasando todo esto?
El lunes, la firma de ciberseguridad KELA publicó su informe de ventas de acceso a la red y víctimas de ransomware (PDF). En dicho reporte, comentan que la cantidad de víctimas significativas de ransomware se redujo en aproximadamente un 40 %. Solo hallaron registradas cerca de 698 en el primer trimestre en comparación con las 982 del cuarto trimestre de 2021. En conclusión: los ataques de ransomware disminuyen considerablemente.
En promedio, la empresa registró 232 ataques de ransomware por mes durante este período de tiempo.
No solo disminuyen los ataques de ransomware, también hay cambios notables en los grupos de ransomware
Un cambio muy notable podemos hallarlo en Conti como uno de los grupos de ransomware más prolíficos, junto con LockBit, Hive, Alphv/Blackcat y Karakurt.
Y es que es un grupo que por sus acciones se ha ganado un puesto entre las pandillas como uno de los más terribles debido a esto:
- La pandilla de ransomware podría atacar sin problemas a un hospital como a un negocio. Ellos encriptarían sistemas y exigirían un fuerte pago de chantaje a cambio de una clave de descifrado.
- Durante los primeros meses del año, Conti ofreció su apoyo a la invasión rusa de Ucrania.
Pero el grupo no salió tan bien como esperaba, ya que, tras la declaración del grupo de habla rusa, un individuo irrumpió en sus sistemas y filtró el código de malware de Conti y los registros de chat internos. Información que se convirtió en un tesoro oculto para investigadores y defensores.
Este hallazgo, además de ayudar a los investigadores a comprender las operaciones de la banda, también le quitó a Conti su lugar en el orden jerárquico.
De acuerdo con KELA, Conti ha sido expulsado del primer puesto en los meses posteriores a la filtración. El grupo sigue activo, pero la lista de víctimas de Conti disminuyó desde enero, hecho que hizo subir a LockBit de rango.
Se sabe que, en el primer trimestre, LockBit golpeó a 226 víctimas registradas. Sin embargo, junto con su presunta subsidiaria KaraKurt, Conti sigue siendo la segunda pandilla de ransomware más activa en 2022.
Alphv es considerado una amenaza emergente por KELA como nuevo jugador. Esta banda solo se destacó realmente en diciembre de 2021. Y en el primer trimestre de 2022 es la primera vez que Alphv / Blackcat ingresa a la lista de los grupos más activos.
Midas y Lorenz también están cambiando sus tácticas. De acuerdo con la firma de seguridad cibernética, este es el nuevo método de intimidación de víctimas que está usando la banda: el grupo publica una víctima en un sitio de filtración como una “nueva empresa”, y si la empresa se niega a pagar, la publicación se edita para incluir la marca.
Estos son los sectores que tienen en mente las bandas de ransomware
Estos son los sectores que tienen presente para los ataques las bandas de ransomware:
- La manufactura.
- La industria de los servicios profesionales y la tecnología.
Sin embargo, el ascenso de LockBit en la lista de actividades ha afectado la cantidad de ataques registrados contra los servicios financieros. Y ahora se encuentra entre las cinco principales industrias objetivo. En resumen: LockBit fue responsable del 40% de los ataques contra organizaciones financieras en el primer trimestre. Hecho interesante, pues disminuyen los ataques de ransomware para luego afectar a una industria tan importante como la financiera.
KELA dice que ha observado que algunas pandillas en la lista superior se atacan entre sí o, al menos, reclaman a las mismas víctimas.
El informe señala esto en particular: “El 15 de enero de 2022, Conti afirmó que un concesionario de automóviles con sede en EE. UU. estaba comprometido. El 23 de marzo de 2022, la empresa fue revelada como víctima en el blog de Alphv. Además, el 4 de abril de 2022, Avos Locker publicó la misma empresa en su sitio, compartiendo capturas de pantalla idénticas a las de Alphv y el mismo archivo que compartió Conti. En este punto, no está claro si los tres grupos están cooperando o si es una coincidencia. Recientemente, los investigadores descubrieron que la pandilla Conti tenía como objetivo crear grupos de ransomware autónomos más pequeños y colaboró con las pandillas Alphv, AvosLocker, Hive y HelloKitty”.
Solo esperamos que esta competencia voraz entre los grupos de ransomware y sus ataques disminuya. Y, solo así, industrias como la financiera se encentren sin problemas.