Nuevos perfiles de informes Ransomware Cybergangs

 eSentire publica un informe de perfil de pandillas de ransomware 6

Ese viejo adagio sobre el crimen nunca paga no podría ser más falso, al menos cuando se trata de los ciberdelincuentes de hoy en día. Para aquellos malhechores que utilizan ransomware como arma, el crimen está pagando más que nunca.

La empresa de ciberseguridad Emisoft estima que el verdadero costo global del ransomware, incluida la interrupción del negocio y los pagos de rescate en 2020, fue mínimo. de US $ 42 mil millones y un máximo de casi $ 170 mil millones.

Una encuesta realizada por Veritas Technologies encontró que el 66 por ciento de las víctimas admitieron haber pagado parte o la totalidad del rescate, según un informe publicado el miércoles por empresa de detección y respuesta eSentire .

El informe, elaborado por el equipo de investigación de seguridad de eSentire al que llama Threat Response Unit (TRU), encontró que seis bandas de ransomware reclamaron al menos 290 nuevas víctimas en lo que va de año. El botín combinado supuso potencialmente $ 45 millones para los piratas informáticos.

Los investigadores de la empresa eSentire se unieron al investigador de la web oscura Mike Mayes para rastrear los grupos de ransomware Ryuk / Conti, Sodin / REvil, CLOP y DoppelPaymer. También rastrearon dos bandas cibernéticas emergentes conocidas como DarkSide y Avaddon.

La banda DarkSide debería sonar algunas campanas de familiaridad. Es el equipo responsable del ataque de ransomware Colonial Pipeline a principios de este mes.

La TRU de Esentire y Hayes descubrieron que grupos específicos acumularon cientos de víctimas en 2020 y comprometieron colectivamente 292 nuevas organizaciones de víctimas entre el 1 de enero y 30 de abril de este año. Los investigadores estimaron que el promedio de las organizaciones de rescate que pagaron aumentó de $ 115,123 en 2019 a $ 312,493 en 2020, un aumento interanual del 171 por ciento.

"Hay muchos más ataques de ransomware exitosos que han comprometido a las empresas de lo que el público tiene idea. Realmente no hay ningún tipo de industria / negocio que no sea un objetivo potencial de estos grupos ", dijo a TechNewsWorld Mark Sangster, vicepresidente de eSentire.

Negocio en auge para los piratas informáticos

Los ataques de ransomware son frecuentes. Sus pagos a menudo no son revelados por las víctimas debido a vergüenza o pérdida de la confianza pública. Sin embargo, los grupos de piratas informáticos no son tímidos a la hora de informar de sus ataques exitosos en sus blogs personales / sitios de filtraciones.

El informe eSentire señaló tres nuevos ataques en los tres meses anteriores:

  • Tata Steel — comprometido por el grupo de ransomware Sodin / REvil en abril. Tata Steel se negó a pagar el rescate de $ 4 millones.
  • Distrito Escolar del Condado de Broward – comprometido por la pandilla Ryuk / Conti en marzo. Los actores de amenazas exigieron $ 40 millones, y el distrito dijo que no pagarían.
  • Quanta Computer – fabricante de las MacBooks de próxima generación de Apple, también atacado por Sodin / REvil. En abril, los piratas informáticos exigieron 50 millones de dólares, primero a Quanta, que dijo que no a la extorsión, y luego a Apple
  • .

Pero los investigadores notaron que a pesar de los crecientes informes de ataques de ransomware en los medios, las organizaciones víctimas que los medios revelan son una gota en el agua en comparación con los eventos reales.

Un incidente de ransomware que ocurrió el mes pasado, pero nunca salió a bolsa, involucró a una pequeña empresa privada estadounidense. Los actores de amenazas exigieron $ 12 millones, que esa empresa pagó, según un empleado de alto rango de la organización que pidió no ser identificado.

Con los ataques cibernéticos evolucionando a una velocidad vertiginosa, la inteligencia de amenazas cibernéticas (CTI) se ha convertido en un componente crítico en programas de ciberseguridad. Sin inteligencia, las organizaciones vuelan ciegas a través de cielos muy tormentosos, ofreció Dov Lerner, líder de investigación de seguridad en Sixgill .

"En un nivel estratégico, CTI permitirá a los ejecutivos comprender el panorama de amenazas y evaluar los riesgos para sus organizaciones. En un nivel más táctico, CTI se utiliza para bloquear indicadores maliciosos de compromiso y para detectar datos comprometidos ", dijo Lerner a TechNewsWorld.

A medida que se digitalizan más negocios y actividades diarias, hay más oportunidades para que los actores de la web oscura consumir y explotar datos confidenciales publicados en plataformas subterráneas, agregó. El crimen cibernético clandestino solo continúa creciendo, y la pandemia y la crisis económica pueden llevar a más actores de amenazas a buscar actividades financieras ilícitas y, últimamente, un discurso político radical.

Sin duda sobre los éxitos

Sangster dijo que sus investigadores creen plenamente que las organizaciones que estos grupos afirman haber comprometido son verdaderas por varias razones, que incluyen:

  • Cada uno de los ransomware grupos los detalles del informe proporcionan numerosos ejemplos de varios archivos y documentos que afirman haber robado de las empresas víctimas. Además, todos parecen auténticos.
  • Los investigadores han visto que los grupos de amenazas publican una víctima en el sitio de la filtración. Más adelante, tal vez semanas después, el objetivo sale públicamente acerca de haber sufrido un ataque de ransomware.
  • No beneficia a estos grupos de ransomware mentir sobre las víctimas que afirman haber pirateado. Si publicaban víctimas en su sitio de filtración que no habían comprometido, entonces la voz se difundiría muy rápidamente y ninguna víctima les pagaría
  • .

"Nuestro equipo de investigación de seguridad, TRU, y el investigador de la web oscura Mike Mayes se adentraron en la web oscura y pasaron mucho tiempo analizando los sitios de filtraciones o blogs de estos seis grupos de ransomware, y también analizamos los TTP de estos grupos que hemos reunido al rastrearlos desde que comenzaron su ola de crímenes ", dijo Sangster.

Los investigadores acaban de concluir todos sus hallazgos y están en medio de compartir los detalles con el varias agencias de aplicación de la ley, agregó.

Lista ampliada de ataques

Esentire y Mayes descubrieron que los seis grupos de ransomware que rastrearon para este informe no solo continúan apuntando a los sospechosos habituales: gobierno estatal y local, distritos escolares, bufetes de abogados y organizaciones hospitalarias y de atención médica . Han ampliado su lista de resultados para incluir fabricantes, empresas de transporte / logística y empresas de construcción en los EE. UU., Canadá, Sudamérica, Francia y el Reino Unido

Aquí hay un resumen de las nuevas víctimas resultantes de esta lista ampliada de ataques:

Ryuk / Conti

El grupo de ransomware Ryuk / Conti apareció por primera vez en agosto de 2018. Sus víctimas iniciales tendían a ser organizaciones con sede en Estados Unidos. Estos incluyeron empresas de tecnología, proveedores de atención médica, instituciones educativas, proveedores de servicios financieros y numerosas organizaciones gubernamentales estatales y locales.

La pandilla atacó a un total de 352 organizaciones, comprometiendo 63 empresas y organizaciones del sector privado solo este año. TRU examinó 37 de las 63 víctimas de Ryuk, y entre ellas, 16 eran fabricantes que producían de todo, desde dispositivos médicos hasta hornos industriales, equipos de radiación electromagnética y software de administración escolar.

Ryuk supuestamente comprometido en 2021 empresas de transporte / logística, empresas de construcción y atención médica. Organizaciones.

Sodin / REvil

Sodin / REvil enumeró 161 nuevas víctimas este año, de las cuales 52 eran fabricantes, así como algunas organizaciones de atención médica, empresas de transporte / logística y empresas de construcción. En marzo, el grupo golpeó al fabricante de computadoras y productos electrónicos Acer y exigió un rescate de 50 millones de dólares.

Cuando Quanta Computer, que fabrica computadoras portátiles para Apple, se negó a negociar, como se mencionó anteriormente, los criminales de Sodin supuestamente recurrieron a Apple para obtener el rescate. . Los piratas informáticos de Sodin publicaron en su blog llamado "Happy Blog", una advertencia que indicaba que si no se les pagaba, publicarían lo que afirmaban que eran detalles técnicos para el hardware actual y futuro de Apple.

DoppelPaymer

El grupo de ransomware DoppelPaymer surgió en 2019. El sitio web del grupo DoppelPaymer afirma que comprometió a 186 víctimas desde su debut con 59 solo en 2021. Las víctimas incluyen numerosas organizaciones gubernamentales estatales y locales, además de varias instituciones educativas.

En diciembre de 2020, el FBI emitió una advertencia de que "Desde fines de agosto de 2019, actores no identificados han utilizado el ransomware DoppelPaymer para cifrar datos de víctimas dentro de industrias críticas en todo el mundo, como como salud, servicios de emergencia y educación, interrumpiendo el acceso de los ciudadanos a los servicios ".

Muchas de las PyMEs que el grupo afirma como víctimas nunca fueron reportadas en la prensa, ni tampoco muchas de las entidades del sector público. Una de las excepciones es la oficina del Fiscal General de Illinois, que descubrió por primera vez el ataque DoppelPaymer el 10 de abril de 2021.

Clop (Cl0p)

El ransomware Clop apareció por primera vez en febrero de 2019 y se hizo más conocido en octubre de 2020 cuando Los operadores se convirtieron en el primer grupo en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG se negó a pagar.

Clop llegó a los titulares este año por seleccionar los datos robados de las víctimas y recuperar la información de contacto de los clientes y socios de la empresa y enviarles un correo electrónico para instarlos para que la empresa víctima pague el rescate.

DarkSide

DarkSide es un grupo de ransomware relativamente nuevo. La TRU de Esentire comenzó a rastrearlo en diciembre pasado, aproximadamente un mes después de que supuestamente surgiera. Los operadores afirman en su blog / sitio de filtración haber infectado a 59 organizaciones en total, comprometiendo 37 de ellas en 2021.

Las víctimas se encuentran en los EE. UU., América del Sur, Medio Oriente y el Reino Unido. Incluyen fabricantes de todo tipo de productos. , como compañías de energía, compañías de ropa, compañías de viajes.

A fines del 13 de mayo, el blog / sitio de filtraciones de DarkSide se cayó y los actores de amenazas de DarkSide afirmaron que había perdido el acceso a la infraestructura que utiliza para ejecutar su operación estar cerrando. El aviso mencionaba la interrupción de una agencia de aplicación de la ley y la presión de los EE. UU. Antes de la caída del sitio web de DarkSide, los operadores siempre afirmaban que proporcionaban su malware a través de un modelo de ransomware como servicio.

Los operadores de DarkSide afirmaron que son como Robin Hood y solo persiguen a empresas rentables que pueden permitirse pagar un rescate. Los operadores del grupo también señalaron que no atacarán hospitales, instalaciones de cuidados paliativos, hogares de ancianos, funerarias y empresas involucradas en el desarrollo y distribución de la vacuna Covid-19, según el informe de eSentire.

Avaddon

Los operadores de Avaddon, cuyas demandas de ransomware aparecieron por primera vez en la naturaleza en febrero de 2019, afirman que infectaron a 88 víctimas durante su vida, 47 de ellas en 2021. Los nueve ataques de ransomware siguieron al ransomware-as-a-service

Sus operadores permiten a los afiliados utilizar el ransomware con una parte de las ganancias pagadas a los desarrolladores de Avaddon. Según Esentire, los actores de amenazas de Avaddon también ofrecen a sus víctimas soporte y recursos las 24 horas del día, los 7 días de la semana, para comprar bitcoins, probar archivos para descifrarlos y otros desafíos que pueden impedir que las víctimas paguen el rescate.

Cómo evitar ataques de ransomware

Los grupos de ransomware están causando estragos en muchas más entidades de las que el público cree, según eSentire. Ninguna industria es inmune a este flagelo de ransomware que está ocurriendo en todas las regiones y sectores.

Esentire recomienda estos consejos para defenderse de los ataques de ransomware:

  • Realice una copia de seguridad de todos los archivos críticos y guárdelos fuera de línea
  • Requiere autenticación multifactor para acceder a la red privada virtual (VPN) o los servicios de protocolo de escritorio remoto (RDP) de su organización
  • Permitir que solo los administradores accedan a los dispositivos de red mediante un servicio VPN
  • Los controladores de dominio son un objetivo clave para Actores de ransomware. Asegúrese de que su equipo de seguridad tenga visibilidad de sus redes de TI mediante agentes de detección y respuesta de puntos finales (EDR) y registro centralizado en controladores de dominio (DC) y otros servidores
  • Emplee el principio de privilegios mínimos con los miembros del personal
  • Desactive RDP si no
  • Parchear los sistemas con regularidad, dando prioridad a sus sistemas de TI clave
  • Implementar la segmentación de la red
  • Obligar a todos los empleados de la empresa a capacitar a los usuarios en concienciación

"Desde la perspectiva de la industria de la ciberseguridad , existen algunos servicios, herramientas y políticas de seguridad muy efectivos disponibles para las empresas que les ayudarán en gran medida a proteger sus valiosos datos y aplicaciones de las amenazas cibernéticas como el ransomware, el compromiso del correo electrónico empresarial, el ciberespionaje y la destrucción de datos ", advirtió Sangster.


Leave a Reply

Your email address will not be published. Required fields are marked *