En este artículo te presentamos un resumen de dos semanas sobre los recientes ataques e investigaciones de ransomware. Destacando en las noticias, el grupo BlackCat/ALPHV enfrentó una interrupción en su infraestructura durante casi cinco días. Según varias fuentes, esta interrupción podría estar relacionada con una operación policial, aunque BlackCat atribuye las interrupciones a problemas de hardware o alojamiento.
Se ha informado que algunos afiliados de BlackCat/ALPHV dudan de esta explicación y han empezado a contactar directamente a las víctimas por correo electrónico para negociar fuera de los sitios de Tor de la operación de ransomware. Esto plantea dudas sobre si están concluyendo sus actividades con las últimas víctimas antes de unirse a otra organización criminal o si consideran que la operación ALPHV está comprometida.
La operación LockBit parece estar capitalizando esta situación. Este grupo de ciberdelincuentes ha empezado a reclutar afiliados de ALPHV, considerando la situación como una oportunidad.
Además, se han reportado varios ataques de ransomware en las últimas dos semanas, incluyendo:
Se encontró una muestra del ransomware Qilin diseñada específicamente para atacar sistemas VMware ESXi. Esta variante demostró ser una de las más sofisticadas y personalizables dirigidas a sistemas Linux hasta la fecha.
Te podrá interesar leer: Ataque de Ransomware Qilin a Yanfeng: Comprendiendo el Impacto
La empresa Tipalti estaba investigando acusaciones de un ataque de ransomware perpetrado por la banda ALPHV, que habría comprometido su red y robado una cantidad significativa de datos, incluyendo información relacionada con Roblox y Twitch.
Además, se detectó una nueva variante del ransomware Phobos, la cual utilizaba la extensión de archivo .elpy y mostraba notas de rescate bajo los nombres info.txt e info.hta.
También se identificó una nueva variante de Xorist que utilizaba la extensión .xro y mostraba una nota de rescate denominada "CÓMO DESCIFRAR ARCHIVOS.txt".
Podría interesarte: Ataque Ransomware ALPHV/BlackCat contra Tipalti: Amenaza a Clientes
HTC Global Services, una empresa de consultoría empresarial y servicios de TI, confirmó haber sido víctima de un ciberataque, después de que la banda ALPHV comenzara a filtrar capturas de pantalla de datos robados.
Podría interesarte: HTC Global Services Confirma Ataque Cibernético
El ransomware Qilin ESXi había creado una familia de malware altamente configurable que aprovechaba las herramientas locales de ESXi para mejorar su capacidad de cifrar y extorsionar a sus víctimas.
Por otra parte, la empresa de construcción naval Austal USA, contratista del Departamento de Defensa y el Departamento de Seguridad Nacional de Estados Unidos, confirmó ser víctima de un ciberataque y estaba investigando el alcance del incidente.
Se identificaron una serie de nuevas variantes del ransomware STOP que utilizaban las extensiones .nbwr y .nbzi.
Además, se detectó una nueva variante del ransomware Phobos que utilizaba la extensión .GrafGrafel y mostraba notas de rescate bajo los nombres info.txt e info.hta.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
Un ciudadano ruso llamado Anatoly Legkodymov se declaró culpable de gestionar un intercambio de criptomonedas llamado Bitzlato, el cual había sido utilizado por bandas de ransomware y otros ciberdelincuentes para lavar grandes sumas de dinero, superando los 700 millones de dólares.
Surgió un rumor que sugería que la interrupción de los sitios web de la banda de ransomware ALPHV durante las últimas 30 horas podría estar relacionada con una operación policial.
Además, Norton Healthcare, un sistema de salud en Kentucky, reveló que fue víctima de un ataque de ransomware en mayo, lo que resultó en la exposición de información personal de pacientes, empleados y dependientes.
Se identificó una nueva variante del ransomware HiddenTear que utilizaba la extensión .funny y mostraba una nota de rescate llamada "readme.txt".
Te podrá interesar: Costo de Inacción en Ciberseguridad
Toyota Financial Services (TFS) advirtió a sus clientes sobre una violación de datos que expuso información personal y financiera confidencial como resultado de un ataque de ransomware.
Además, se detectaron nuevas variantes del ransomware STOP que utilizaban las extensiones .hhuy y .hhaz.
Te podrá interesar: Toyota y la Amenaza del Ransomware Medusa: Brecha de seguridad
El operador de ransomware Rhysida afirmó haber hackeado con éxito al desarrollador de videojuegos Insomniac Games y había publicado datos limitados como prueba de ello.
La operación de ransomware LockBit comenzó a reclutar afiliados y desarrolladores de BlackCat/ALPHV y NoEscape después de una serie de interrupciones y estafas de salida.
Además, las autoridades francesas arrestaron a un ciudadano ruso en París por su presunta participación en el lavado de pagos de rescate para la banda de ransomware Hive.
También se publicó un análisis técnico del ransomware Rhysida por parte de ShadowStackRE.
Mallox, un grupo que utilizaba ataques de ransomware que explotaban vulnerabilidades en MS-SQL, siguió afectando a empresas, y se proporcionó un análisis detallado de sus actividades recientes.
Te podrá interesar: Lockbit: Peligroso Tipo de Ransomware
La empresa Kraft Heinz investigaba acusaciones de piratería, aunque aseguraba que sus sistemas seguían funcionando normalmente y no había evidencia de violación de datos, a pesar de que un grupo de extorsión afirmaba lo contrario en un sitio de filtración de datos.
Un reciente compromiso de Digital Forensics & Incident Response (DFIR) con una agencia de aplicación de la ley reveló una colaboración entre las bandas de ransomware BianLian, White Rabbit y Mario en una campaña de extorsión dirigida a empresas de servicios financieros que cotizan en bolsa.
El panorama del ransomware en 2023 es un recordatorio crítico de la importancia de la ciberseguridad. Con ataques cada vez más sofisticados y dañinos, es esencial que individuos y organizaciones adopten medidas proactivas para protegerse. La educación, las prácticas de seguridad rigurosas y una respuesta informada son claves para mitigar el impacto de estos ataques devastadores.