Un informe de Zscaler revela que los sofisticados ataques de doble extorsión se dirigen a sectores esenciales
Zscaler ThreatLabz, el equipo de investigación de Zscaler, analizó más de 150 mil millones de transacciones que se procesaron en su plataforma junto con 36,5 mil millones de ataques bloqueados entre noviembre de 2019 y enero de 2021, para identificar las variantes emergentes de ransomware, sus orígenes y cómo detenerlas. El informe también describe un riesgo creciente de ataques de “doble extorsión”, que son cada vez más utilizados por los ciberdelincuentes para interrumpir las empresas y mantener los datos como rehenes para obtener un rescate.
“En los últimos años, la amenaza del ransomware se ha vuelto cada vez más peligrosa, con nuevos métodos como la doble extorsión y los ataques DDoS que facilitan a los ciberdelincuentes sabotear las organizaciones y causar un daño a largo plazo a su reputación”, dijo Deepen Desai, CISO y VP de Investigación de Seguridad en Zscaler. “Nuestro equipo prevé que los ataques de ransomware serán cada vez más selectivos en su naturaleza, con los que los ciberdelincuentes golpearán a aquellas organizaciones que tienen una mayor probabilidad de pagar el rescate. Hemos analizado los recientes ataques de ransomware en los que los ciberdelincuentes tenían conocimiento de aspectos como la cobertura del ciberseguro de la víctima, así como de los proveedores de la cadena de suministro críticos, lo que les coloca en la diana de estos ataques. Por lo tanto, es fundamental que las empresas comprendan mejor el peligro que representa el ransomware y tomen las precauciones adecuadas para evitar un ataque. Siempre hay que parchear las vulnerabilidades, entrenar a los empleados en la detección de correos electrónicos sospechosos, hacer copias de seguridad de los datos con regularidad, implementar una estrategia de prevención de pérdida de datos y utilizar una arquitectura de confianza cero para minimizar la superficie de ataque y evitar el movimiento lateral”.
Según el Informe de Riesgos Globales 2020 del Foro Económico Mundial, el ransomware fue el tercer tipo de ataque de malware más común y el segundo más dañino registrado en 2020. Con pagos de una media de 1,45 millones de dólares por incidente, no es difícil ver por qué los ciberdelincuentes acuden cada vez más a este nuevo método de extorsión de alta tecnología. A medida que aumentan las ganancias derivadas de este tipo de delitos, también crecen los riesgos para las entidades gubernamentales, los beneficios de las empresas, la reputación, la integridad de los datos, la confianza de los clientes y la continuidad del negocio. El informe de Zscaler apoya la tesis recientemente formulada por el gobierno federal de los Estados Unidos, que clasifica el ransomware como una amenaza a la seguridad nacional; subrayando la necesidad de priorizar las medidas de mitigación y contingencia a la hora de protegerse contra estas continuas amenazas.
La doble extorsión: el nuevo método preferido
A finales de 2019, ThreatLabz observó una creciente preferencia por los ataques de “doble extorsión” en algunas de las familias de ransomware más activas e impactantes. Estos ataques se definen por una combinación de cifrado no deseado de datos sensibles por parte de actores maliciosos y la extracción de los archivos más significativos para pedir un rescate. Las organizaciones afectadas, incluso si son capaces de recuperar los datos de las copias de seguridad, se ven entonces amenazadas con la exposición pública de sus datos robados por parte de grupos delictivos que exigen un rescate. A finales de 2020, el equipo observó que esta táctica se vio incrementada con ataques DDoS sincronizados, sobrecargando los sitios web de las víctimas y ejerciendo una presión adicional sobre las organizaciones para que cooperen.
Según Zscaler ThreatLabZ, muchos sectores diferentes han sido objetivo en los últimos dos años de ataques de ransomware de doble extorsión. Entre los sectores más atacados se encuentran los siguientes:
- Industria manufacturera (12,7%)
- Servicios (8,9%)
- Transporte (8,8%)
- Comercio minorista y mayorista (8,3%)
- Tecnología (8%)
Porcentaje de ataques de ransomware con doble extorsión observados entre noviembre de 2019 y enero de 2021.
Programas de ransomware más activos
Durante el último año, ThreatLabz ha identificado siete “familias” de ransomware que se observaron con más frecuencia que otras. El informe analiza los orígenes y las tácticas de los siguientes cinco grupos más activos:
• Maze/Egregor: Aparecido inicialmente en mayo de 2019, Maze fue el ransomware más utilizado para los ataques de doble extorsión (contabilizando 273 incidentes) hasta que aparentemente dejó de funcionar en noviembre de 2020. Los atacantes utilizaron campañas de correo electrónico de spam, kits de explotación como Fallout y Spelevo, y servicios RDP hackeados para obtener acceso a los sistemas y cobraron con éxito grandes rescates después de encriptar y robar archivos de empresas de TI y tecnología. Los tres principales sectores atacados por Maze fueron la alta tecnología (11,9%), la industria manufacturera (10,7%) y los servicios (9,6%). En particular, Maze se comprometió a no atacar a las empresas del sector sanitario durante la pandemia de COVID-19.
• Conti: Detectado por primera vez en febrero de 2020, es la segunda familia de ataques más común, con 190 ataques. Conti comparte código con el ransomware Ryuk y parece ser su sucesor. Conti utiliza la API del gestor de reinicio de Windows antes de cifrar los archivos, lo que le permite cifrar más archivos como parte de su estrategia de doble extorsión. Las víctimas que no quieren o no pueden pagar el rescate ven sus datos publicados regularmente en el sitio web de filtración de datos de Conti. Los tres sectores más afectados son la industria manufacturera (12,4%), los servicios (9,6%) y transporte (9,0%).
• Doppelpaymer: Detectado por primera vez en julio de 2019 y con 153 ataques documentados, Doppelpaymer se dirige contra una selección de sectores y suele exigir grandes pagos: de seis y siete cifras. Inicialmente infecta las máquinas con un correo electrónico de spam que contiene un enlace malicioso o un archivo adjunto malicioso. Doppelpaymer luego descarga el malware Emotet y Dridex en los sistemas infectados. Las tres organizaciones más atacadas por Doppelpaymer fueron la industria manufacturera (15,1%), el comercio minorista y mayorista (9,9%) y las administraciones públicas (8,6%).
• Sodinokibi: También conocido como REvil y Sodin, Sodinokibi fue observado por primera vez en abril de 2019, y se lo ha encontrado con creciente frecuencia a lo largo de 125 ataques. Al igual que Maze, Sodinokibi utiliza correos electrónicos de spam, kits de explotación y cuentas RDP comprometidas, además de explotar frecuentemente vulnerabilidades en Oracle WebLogic. Sodinokibi comenzó a utilizar tácticas de doble extorsión en enero de 2020 y tuvo el mayor impacto en el transporte (11,4%), la industria manufacturera (11,4%) y el comercio minorista/mayorista (10,6%).
• DarkSide: Fue detectado por primera vez en agosto de 2020 tras publicar un comunicado de prensa en el que anunciaba sus servicios. Utilizando un modelo de “ransomware como servicio”, DarkSide despliega métodos de doble extorsión para robar y cifrar información. El grupo hace público su programa de objetivos, escribiendo en su página web que no ataca a organizaciones sanitarias, servicios funerarios, centros educativos, organizaciones sin ánimo de lucro o administraciones públicas. En su lugar, los principales objetivos elegidos son los servicios (16,7%), la industria manufacturera (13,9%) y los servicios de transporte (13,9%). Al igual que en el caso de Conti, los que no pueden pagar el rescate ven sus datos publicados en el sitio web de DarkSide.
El estudio completo sobre el ransomware de Zscaler ya está disponible para el público en general. Para más información consulte 'ThreatLabZ Ransomware Review: The Advent of Double Extortion'.