En el siempre cambiante paisaje de la ciberseguridad, el ransomware continúa siendo una de las amenazas más significativas para individuos y organizaciones alrededor del mundo. Recientemente, un informe puso en evidencia la aparición de tres nuevos grupos de ransomware que están ganando notoriedad en 2024. En este artículo, profundizaremos en quiénes son estos grupos, sus métodos de operación y cómo puedes protegerte contra sus tácticas maliciosas.
Antes de adentrarnos en los detalles de estos grupos emergentes, es esencial entender qué es el ransomware. Se trata de un tipo de software malicioso diseñado para cifrar archivos en un dispositivo, haciéndolos inaccesibles para el usuario. Los atacantes luego exigen un rescate, generalmente en criptomonedas, para proporcionar la clave de descifrado. Las víctimas de ransomware pueden ser desde usuarios individuales hasta grandes corporaciones y entidades gubernamentales.
Podría interesarte: Evita el Pago de Ransomware: Riesgos del Rescate
3AM es una nueva cepa de ransomware que ha aparecido recientemente, pero su uso ha sido limitado hasta el momento. En 2023 solo logró afectar a más de 20 organizaciones, la mayoría en Estados Unidos. Sin embargo, ha ganado notoriedad debido a que un afiliado de ransomware que intentó desplegar LockBit en la red de un objetivo cambió a 3AM cuando LockBit fue bloqueado.
Las nuevas familias de ransomware aparecen con frecuencia, y la mayoría desaparecen tan rápido como surgen o nunca consiguen una gran repercusión. Sin embargo, el hecho de que 3AM fuera utilizado como alternativa por un afiliado de LockBit sugiere que puede ser de interés para los atacantes y que podría volver a verse en el futuro.
Lo interesante de 3AM es que está codificado en Rust y parece ser una familia de malware totalmente nueva. Sigue una secuencia específica: intenta detener varios servicios en el ordenador comprometido antes de iniciar el proceso de cifrado de archivos. Después de completar el cifrado, intenta borrar las copias de sombra de volumen (VSS). Cualquier posible vínculo entre sus autores y organizaciones de ciberdelincuencia conocidas sigue sin estar claro.
Te podrá interesar leer: 3AM Ransomware: Un Peligro Moderno con un Toque Vintage
El grupo de ransomware Rhysida entró en el punto de mira en mayo/junio de 2023 cuando lanzó un portal de chat de soporte a las víctimas accesible a través de su sitio TOR (.onion). El grupo afirma haber afectado a más de 100 organizaciones en todo el mundo, principalmente en Estados Unidos, Reino Unido, Canadá y Australia.
Rhysida utiliza una variedad de métodos para infiltrarse en las redes de sus objetivos, como el phishing, la explotación de vulnerabilidades, el robo de credenciales y el uso de herramientas legítimas como Cobalt Strike, Mimikatz y PsExec. Una vez dentro, realiza una exploración de la red, deshabilita los sistemas de seguridad, roba datos sensibles y los publica en su sitio web de filtración si no se paga el rescate.
Rhysida se caracteriza por utilizar un algoritmo de cifrado AES-256 y por añadir la extensión .rhysida a los archivos cifrados. Además, deja una nota de rescate en cada carpeta afectada con instrucciones para contactar con el grupo a través de su portal de chat o por correo electrónico. El importe del rescate varía según el tamaño y el tipo de la organización, pero suele oscilar entre 50.000 y 500.000 dólares.
Te podrá interesar leer: Alerta del FBI y CISA: Ransomware Rhysida Ataca Oportunamente
El grupo Akira es otro de los nuevos actores en el panorama del ransomware, que debutó en agosto de 2023 con el ataque a la empresa de software de gestión de proyectos Monday.com. El grupo logró robar más de 1 TB de datos de la empresa y de sus clientes, y exigió un rescate de 7 millones de dólares para no publicarlos.
Akira utiliza una técnica conocida como doble extorsión, que consiste en combinar el cifrado de archivos con el robo y la amenaza de filtración de datos. De esta manera, aumenta la presión sobre las víctimas para que paguen el rescate, incluso si tienen copias de seguridad de sus archivos. El grupo también ofrece un servicio de negociación con las víctimas a través de su sitio web de filtración, donde publica los datos robados si no se cumple el plazo establecido.
Akira se distingue por utilizar un algoritmo de cifrado RSA-2048 y por añadir la extensión .akira a los archivos cifrados. Además, deja una nota de rescate en cada carpeta afectada con instrucciones para contactar con el grupo a través de su sitio web de filtración o por correo electrónico. El importe del rescate varía según el caso, pero suele ser muy elevado, como se demostró en el ataque a Monday.com.
Te podría interesar: Ciberataque a Nissan Australia: Ransomware Akira
El ransomware es una amenaza que no muestra signos de disminuir, sino todo lo contrario. Cada vez surgen más grupos de ransomware que utilizan técnicas sofisticadas y agresivas para extorsionar a sus víctimas. Por ello, es importante estar al tanto de las últimas tendencias y actores en este campo, y tomar las medidas adecuadas para prevenir y mitigar los posibles ataques.
En este artículo, hemos visto tres nuevos grupos de ransomware que debes vigilar en 2024: 3AM, Rhysida y Akira. Estos grupos han demostrado su capacidad para infiltrarse en las redes de organizaciones de diversos sectores y países, y para exigir rescates millonarios a cambio de no publicar o restaurar los datos cifrados. Sin embargo, estos no son los únicos grupos que existen, y es probable que aparezcan otros en el futuro.