Una reciente revelación ha sacudido el mundo de la ciberseguridad: una empresa perteneciente al selecto grupo de Fortune 50 pagó un rescate sin precedentes de 75 millones de dólares a la notoria banda de ransomware Dark Angels. Este alarmante hecho marca un hito inquietante en la historia de los ataques de ransomware, ya que es el rescate más alto conocido públicamente hasta la fecha. Este evento destaca la creciente amenaza de este tipo de ataques y el nivel de sofisticación que los ciberdelincuentes están alcanzando.
El pago fue confirmado por la empresa de inteligencia criptográfica Chainalysis, que corroboró la transacción a través de sus herramientas de análisis de blockchain y publicó detalles adicionales en X (anteriormente conocido como Twitter). Esto subraya la seriedad del incidente y la efectividad de la táctica de "doble extorsión" utilizada por Dark Angels, en la que los atacantes no solo cifran los datos, sino que también amenazan con divulgar información sensible si no se cumple con sus demandas.
El pago de rescate más grande registrado anteriormente fue de 40 millones de dólares, que el gigante de seguros CNA desembolsó tras un ataque de ransomware por parte de Evil Corp. Aunque no se reveló la identidad de la empresa que pagó los 75 millones de dólares, se mencionó que pertenecía al grupo Fortune 50 y que el ataque tuvo lugar a principios de 2024.
Te podrá interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
Dark Angels es una operación de ransomware que comenzó a operar en mayo de 2022, atacando empresas a nivel global. Al igual que muchas bandas de ransomware, los operadores de Dark Angels se infiltran en redes corporativas y se mueven lateralmente hasta obtener acceso administrativo. Durante este proceso, también extraen datos de los servidores comprometidos, utilizando esta información como una herramienta adicional para exigir rescates.
Una vez que consiguen acceso al controlador de dominio de Windows, los atacantes implementan el ransomware para cifrar todos los dispositivos en la red. Inicialmente, al lanzar su operación, Dark Angels utilizó cifradores de Windows y VMware ESXi basados en el código fuente filtrado del ransomware Babuk.
Con el tiempo, migraron a un cifrador de Linux, similar al que Ragnar Locker había utilizado desde 2021. Es importante señalar que Ragnar Locker fue desmantelado por las fuerzas del orden en 2023. Este cifrador de Linux fue empleado en un ataque de Dark Angels contra Johnson Controls, donde se cifraron los servidores VMware ESXi de la empresa. Durante ese ataque, Dark Angels afirmó haber sustraído 27 TB de datos corporativos y exigió un rescate de 51 millones de dólares.
Nota de Rescate
Los actores de amenazas también gestionan un sitio de filtración de datos llamado 'Dunghill Leaks', que utilizan como una herramienta de extorsión. A través de este sitio, amenazan con divulgar información confidencial si las víctimas no pagan el rescate exigido.
Según informes recientes, Dark Angels emplea la estrategia conocida como "Big Game Hunting", que se enfoca en atacar a un número limitado de empresas de alto valor con la esperanza de obtener pagos de rescate masivos. Este enfoque contrasta con la táctica más común de otros grupos de ransomware, que atacan indiscriminadamente a muchas organizaciones para obtener varios pagos más pequeños.
"El grupo Dark Angels utiliza un enfoque muy específico, apuntando generalmente a una sola gran empresa a la vez", explican los investigadores. "Esto contrasta marcadamente con la mayoría de los grupos de ransomware, que suelen atacar a sus víctimas de forma indiscriminada y subcontratan gran parte del ataque a redes de afiliados que incluyen corredores de acceso inicial y equipos de pruebas de penetración." La táctica de Big Game Hunting se ha convertido en una tendencia predominante adoptada por numerosas bandas de ransomware en los últimos años.
Te podrá interesar leer: Protección contra Ransomware con Acronis
El caso de Dark Angels y su enfoque de "Big Game Hunting" subraya la creciente amenaza del ransomware para las empresas, especialmente aquellas de gran valor. Este tipo de ataque no solo tiene el potencial de infligir pérdidas financieras masivas, sino que también pone en riesgo la reputación y la seguridad de datos confidenciales. Por ello, es crucial que las organizaciones inviertan en soluciones de ciberseguridad robustas y mantengan copias de seguridad actualizadas de sus datos.
Con TecnetProtect, tienes lo mejor de ambos mundos: una solución integral que combina backups seguros con medidas avanzadas de ciberseguridad. Esto asegura que tus datos estén protegidos y recuperables en caso de un ataque, minimizando el impacto y garantizando la continuidad del negocio. En este panorama de amenazas cibérneticas, estar preparado es esencial, y nuestro TecnetProtect ofrece la protección completa que necesitas para enfrentar los desafíos de ciberseguridad actuales y futuros.