La semana del 26 de enero de 2024 ha sido notable en la lucha contra el ransomware. Diversos gobiernos han lanzado operaciones coordinadas para desmantelar redes de ciberdelincuentes, lo que ha llevado a numerosas detenciones y al decomiso de servidores utilizados en ataques de ransomware.
La semana pasada, los gobiernos tomaron medidas en respuesta a las operaciones de ransomware, imponiendo sanciones a un individuo vinculado a amenazas cibernéticas y condenando a prisión a otro.
El martes, las autoridades de Australia, Estados Unidos y el Reino Unido anunciaron sanciones contra Aleksandr Gennadievich Ermakov, un ciudadano ruso sospechoso de estar involucrado en el ataque cibernético a Medibank en 2022 y asociado al grupo de ransomware REvil. Según un informe de seguridad, Ermakov estuvo profundamente involucrado en actividades delictivas en línea, incluyendo su papel como operador y colaborador en casos de ransomware. También se cree que ha contribuido al desarrollo de software tanto legal como ilegal.
Conoce más sobre: Sanciones a Hacker de REvil tras Ataque a Medibank
El jueves, el gobierno de Estados Unidos sentenció a Vladimir Dunaev, otro ciudadano ruso, a cinco años y cuatro meses de prisión por su participación en la creación y distribución del malware TrickBot y su colaboración con operaciones de ransomware. Según el Departamento de Justicia, Dunaev desempeñó un papel clave como desarrollador de malware para el grupo TrickBot, supervisando la creación de códigos de inyección en navegadores web, la identificación de sistemas y la recopilación de datos utilizados por el malware TrickBot. Además, se alega que Dunaev también contribuyó al desarrollo y la implementación de ransomware para atacar instituciones en Estados Unidos, como hospitales, escuelas y empresas.
Lamentablemente, esa semana también se reportaron varios ataques a gran escala, incluyendo un incidente de ciberseguridad relacionado con Akira y Tietoevry, un ataque dirigido al gigante de servicios de agua Veolia North America y un incidente en la empresa de tecnología financiera Equilend, que fue reclamado por el grupo LockBit.
Además, lendDepot compartió detalles adicionales sobre el impacto de su ataque de ransomware del 6 de enero, revelando que expuso los datos de 16.6 millones de individuos.
Expertos en seguridad cibernética establecieron vínculos entre el ransomware 3AM y grupos de ciberdelincuentes notorios, incluyendo la organización Conti y la banda de ransomware conocida como Royal.
Te podrá interesar: Vinculan Ransomware 3AM con bandas de Cibercrimen Conti y Royal
Un ataque de ransomware Akira en el proveedor finlandés de servicios de TI y alojamiento en la nube empresarial Tietoevry causó interrupciones en empresas y ciudades suecas al afectar a los clientes de alojamiento en la nube en uno de sus centros de datos en Suecia.
Conoce más sobre: Ataque de Ransomware Akira a TietoEVRY
El prestamista hipotecario LoreDepot informó que aproximadamente 16.6 millones de personas sufrieron la filtración de sus datos personales en un ataque de ransomware que se reveló a principios de este mes.
Descubrimiento de nuevas variantes de ransomware:
- Una nueva variante del ransomware Phobos fue identificada por PCrisk, que agrega la extensión ".gotmydatafast".
- También se encontró un nuevo ransomware denominado Frivinho, que utiliza la extensión ".Frivinho0" y deja una nota de rescate llamada "PLS_READ_ME.txt".
- Otra variante recién descubierta es del Caos Ransomware, que emplea la extensión ".backoff" y muestra una nota de rescate llamada "read_it.txt".
Veolia North America, una subsidiaria de la empresa transnacional Veolia, sufrió un ataque de ransomware que impactó sus sistemas de pago de facturas y afectó a su división de Agua Municipal.
Ransomware 'Kasseika' utiliza tácticas para desactivar software antivirus mediante el empleo de controladores vulnerables.
Los gobiernos de Australia, Estados Unidos y el Reino Unido impusieron sanciones a Aleksandr Gennadievich Ermakov, un ciudadano ruso que se cree está relacionado con el ataque de ransomware a Medibank en 2022 y es miembro del grupo de ransomware REvil.
Te podrá interesar leer: Kasseika Ransomware: Amenaza que desactiva antivirus mediante drivers
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha emitido una advertencia sobre el impacto negativo a corto plazo que se espera de las herramientas de inteligencia artificial (IA) en el ámbito de la ciberseguridad, lo que podría aumentar la amenaza del ransomware en los próximos dos años.
La empresa global de tecnología financiera EquiLend, con sede en Nueva York, ha experimentado interrupciones en sus operaciones tras un ciberataque reciente que dejó algunos de sus sistemas fuera de servicio el lunes.
Además, se ha identificado un nuevo ransomware llamado LockXX, descubierto por rivitna, que utiliza la extensión ".lockxx" y emite una nota de rescate denominada "lockxx.recovery_data.hta".
Podría interesarte: Ciberataque paraliza a EquiLend: Lecciones Aprendidas
Vladimir Dunaev, un ciudadano ruso, ha sido condenado a 64 meses de prisión por su participación en la creación y distribución del malware TrickBot, utilizado en ataques dirigidos contra hospitales, empresas e individuos en todo el mundo.
También se ha detectado otra variante de Phobos Ransomware llamada "FAUST". FortiGuard Labs descubrió un documento de Office que contenía un script VBA diseñado para propagar este ransomware. Los atacantes utilizaron el servicio Gitea para almacenar archivos codificados en Base64, cada uno de los cuales transportaba un componente malicioso. Cuando se inyectan estos archivos en la memoria de un sistema, se desencadena un ataque de cifrado de archivos.
Este resumen de ransomware se centra en el ransomware conocido como Albabat. Además, se han identificado nuevas variantes del ransomware STOP por parte de PCrisk, que incorporan las extensiones ".cdcc" y ".cdxx".
La semana del 26 de enero de 2024 marca un hito en la batalla contra el ransomware. Con la acción decisiva de los gobiernos y una mayor conciencia pública, hay esperanzas de que la amenaza del ransomware pueda ser contenida. Sin embargo, la lucha está lejos de terminar y requiere un esfuerzo constante y coordinado a nivel global.