El mundo del ciberdelito está en constante evolución, y el ransomware sigue siendo una de las amenazas más persistentes y dañinas para individuos y empresas por igual. A medida que nos adentramos en febrero de 2024, un reciente informe arroja luz sobre la dinámica cambiante del ransomware, desmontando la noción de que puede existir algún tipo de honor entre los ciberdelincuentes.
Los ataques a hospitales han continuado esta semana, dando lugar a operaciones de ransomware que han perturbado la atención a los pacientes y forzado a las organizaciones a lidiar con la respuesta a estos ciberataques.
A pesar de que muchas organizaciones, como LockBit, aseguran tener políticas en vigor para evitar el cifrado de hospitales, seguimos viendo casos en los que afiliados se dirigen al sector de la atención médica sin considerar las consecuencias para los pacientes que buscan recibir atención.
LockBit sostiene que sus afiliados solo tienen la intención de robar datos y no de cifrar los sistemas hospitalarios, pero pasan por alto deliberadamente el hecho de que atacar una organización conlleva a que esta apague su sistema de tecnología de la información como medida para contener la propagación del ataque.
Para los hospitales, esto implica que ya no pueden acceder a los registros médicos, emitir recetas electrónicas, responder a los pacientes a través de portales en línea o, en algunos casos, acceder a informes de diagnóstico médico.
La triste realidad es que parecemos estar escuchando sobre nuevos ataques a hospitales casi cada semana. Esta semana, se reportó un ataque al Hospital Infantil Lurie en Chicago, y en diciembre, se informó de un ataque al Hospital Saint Anthony, este último atribuido a LockBit.
A pesar de que las bandas de ransomware tienden a justificarse con la frase "No es personal, es negocio. Solo nos interesa tu dinero", para aquellos que se ven obligados a posponer cirugías cardíacas de sus seres queridos, la situación seguramente se vuelve muy personal y angustiante.
Conoce más sobre: Impacto de LockBit en Hospitales Alemanes
El viernes, un individuo de Ottawa fue sentenciado a dos años de prisión por cargos relacionados con un ataque de ransomware que afectó a cientos de víctimas.
La cantidad de víctimas de ransomware que aceptan pagar rescates ha disminuido significativamente, alcanzando un mínimo histórico del 29% en el último trimestre de 2023, según el informe de la empresa de negociación de ransomware, Coveware.
Te podrá interesar leer: Descenso récord en pagos de ransomware: Las víctimas no pagan
Según fuentes cercanas al incidente, la empresa líder en automatización y gestión de energía, Schneider Electric, sufrió un ataque de ransomware Cactus que resultó en el robo de datos corporativos.
El equipo CSIRT de Truesec ha observado en misiones recientes de respuesta a incidentes que es altamente probable que el grupo de ransomware Akira esté explotando activamente la antigua vulnerabilidad CVE-2020-3259.
El grupo de ransomware Alpha, no relacionado con ALPHV ransomware, ha surgido recientemente, presentando un sitio web en la Dark Web dedicado a la filtración de datos (DLS) y una lista inicial de seis víctimas. Este es un desarrollo en curso y se proporcionarán actualizaciones continuas.
Se ha identificado una nueva variante del ransomware Phobos que agrega la extensión .Ebaka.
Se ha descubierto una nueva variante del ransomware Chaos que utiliza la extensión .NOOSE y deja una nota de rescate llamada OPEN_ME.txt.
Se ha detectado un nuevo ransomware que emplea la extensión .secles y presenta una nota de rescate denominada ReadMe.txt.
Te podrá interesar: Detección de Ataques de Ransomware con Wazuh
CyberArk ha desarrollado una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para abordar situaciones en las que se utiliza el cifrado de forma intermitente.
RansomedVC se destaca como una operación de ransomware inusual en mi investigación. Su liderazgo utiliza estratégicamente la propaganda, campañas de influencia y tácticas de desinformación para ganar notoriedad dentro de la comunidad delictiva. A pesar de mis opiniones personales sobre RansomedVC, es innegable la efectividad de sus tácticas, las cuales han generado molestias entre diversas personas, incluyendo otros delincuentes.
Conoce más sobre: RansomedVC: Nueva Amenaza de Ciberseguridad
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) ha identificado recientemente una nueva actividad del actor de amenazas de ransomware Trigona, que ahora está implementando el ransomware Mimic. Como en casos anteriores, este ataque se dirige a servidores MS-SQL y destaca por su explotación de la utilidad Bulk Copy Program (BCP) durante la instalación del malware.
El grupo de ransomware Play ha alcanzado un gran éxito en la actualidad. Sin embargo, al observar su malware con un desensamblador, se puede comprender por qué este grupo se ha vuelto famoso. Esto se debe a que el análisis inverso del malware resulta una tarea extremadamente compleja debido a sus sofisticadas técnicas antianálisis. A pesar de esto, el malware tiende a bloquearse con frecuencia durante su ejecución. En esta publicación, se explorarán algunas de las técnicas antianálisis utilizadas por Play y se analizará el proceso que el malware utiliza para cifrar unidades de red, lo que a veces provoca su mal funcionamiento.
Te podrá interesar: Play Ransomware ahora como servicio comercial para Hackers
Se ha identificado un nuevo ransomware llamado Silent Anonymous que añade la extensión .SILENTATTACK y presenta una nota de rescate denominada Silent_Anon.txt.
En septiembre de 2023, Johnson Controls International confirmó que un ataque de ransomware le ocasionó a la empresa un gasto de 27 millones de dólares y una filtración de datos, después de que los hackers robaran información corporativa.
El grupo de ransomware ALPHV amenaza con divulgar información obtenida de una empresa de servicios de TI con sede en Virginia, que mantiene contratos con el ejército estadounidense.
La banda de ransomware LockBit se ha atribuido la responsabilidad de un reciente ataque cibernético en un importante hospital comunitario de Chicago.
Aliaksandr Klimenka, ciudadano bielorruso y chipriota, enfrenta acusaciones en Estados Unidos por su participación en una operación internacional de lavado de dinero relacionada con delitos cibernéticos.
Una operación policial internacional, conocida como 'Synergia', ha logrado desmantelar más de 1.300 servidores de comando y control que se empleaban en campañas de ransomware, phishing y malware.
Te podrá interesar leer: Desmantelamiento de la Operación de Malware Grandoreiro
El reciente informe sobre ransomware nos recuerda la naturaleza en constante cambio del ciberdelito. Lejos de existir un código de honor entre los ciberdelincuentes, la realidad es una competencia despiadada y colaboraciones oportunistas que solo buscan maximizar sus ganancias a costa de las víctimas. Frente a esto, la educación, preparación y adopción de estrategias de defensa sólidas son más cruciales que nunca. Protegerse contra el ransomware no es solo una cuestión de tecnología, sino también de conciencia y vigilancia constante.
Este análisis no solo desglosa las tácticas y estrategias emergentes en el paisaje del ransomware, sino que también proporciona una guía esencial sobre cómo individuos y organizaciones pueden protegerse contra estas amenazas crecientes. Al mantenerse informado y preparado, es posible desafiar el impacto de esta plaga cibernética y mantener nuestros datos seguros.