Semana Turbulenta en el Mundo de los Ransomware

El ciberespacio se ha convertido en un campo de batalla donde se libran guerras silenciosas pero devastadoras. A medida que las organizaciones se digitalizan, también se vuelven blancos potenciales para los ciberdelincuentes. Esta semana ha sido testimonio de la audacia de un grupo de hackers conocido como "Dark Angels", quienes han desatado una ola de ataques de ransomware que han dejado a muchas organizaciones tambaleándose en un terreno inseguro.

El ransomware, para aquellos menos familiarizados, es un tipo de malware que, una vez infiltrado en un sistema, cifra los archivos y demanda un rescate para desbloquearlos. Es un negocio lucrativo para los ciberdelincuentes y un desafío enorme para los responsables de la seguridad de la información.

Te podría interesar leer:  Seguridad ante Ransomware: Conoce este tipo de Ataque

¿Quiénes son los perpetradores del ransomware Dark Angels?

Dark Angels se identifica como una operación de ransomware que hizo su primera aparición en mayo de 2022, momento desde el cual comenzó a dirigir sus ataques hacia organizaciones a nivel global.

Similar a muchas otras bandas de ransomware que son operadas manualmente, Dark Angels penetra en las redes corporativas y, posteriormente, se disemina de manera lateral a través de la misma. Durante este periodo, los actores malintencionados sustraen información de los servidores para emplearlos en tácticas de extorsión doble.

Una vez que logran acceder al controlador de dominio de Windows, los maleantes despliegan el ransomware para cifrar todos los dispositivos conectados a la red. En sus primeras instancias, los criminales utilizaban cifradores para Windows y VMware ESXi, basando su tecnología en el código fuente filtrado del ransomware Babuk.

En abril de 2023, Dark Angels inauguró un sitio web para la filtración de datos, denominado 'Dunghill Leaks', que emplean para intimidar a sus víctimas, amenazándolas con revelar datos sensibles en caso de que no se realice el pago del rescate exigido.

Impacto reciente de los Dark Angels

Un sitio web de noticias de tecnología informó recientemente sobre las actividades nefastas de los Dark Angels durante la semana del 29 de septiembre de 2023. Las víctimas incluyen tanto a empresas emergentes como a gigantes corporativos, mostrando que ningún actor en el escenario empresarial está exento de ser un objetivo. Las empresas afectadas han experimentado interrupciones severas, pérdida de datos críticos y daños reputacionales que podrían tener repercusiones a largo plazo.

1. Un ente malicioso identificado como ShadowSyndicate ha sido asociado con 7 operaciones de ransomware.
2. Se está evidenciando una explotación activa de las vulnerabilidades de OpenFire por parte de hackers para cifrar servidores.
3. La agrupación de extorsión Snatch cometió un desliz al dejar visible la página de estado de su servidor, permitiendo a cualquiera observar quién se estaba conectando al servidor.
4. El FBI alertó sobre una aceleración en los ataques de doble cifrado por parte de afiliados a grupos de ransomware.
5. Se ofreció una mirada a la nueva variante de Akira conocida como PowerRanges, referida internamente como Megazord.

Incidentes Destacados de la Semana

23 de septiembre de 2023

- Compromiso de información en el National Student Clearinghouse impacta a 890 instituciones educativas: El National Student Clearinghouse (NSC), una entidad educativa sin ánimo de lucro de Estados Unidos, ha dado a conocer un compromiso de información que ha impactado a 890 instituciones educativas que se benefician de sus servicios a lo largo del país.

25 de septiembre de 2023

- Compromiso de datos en el registro infantil de BORN Ontario afecta a 3,4 millones de individuos: El Better Outcomes Registry & Network (BORN), una organización de atención médica respaldada por el gobierno de Ontario, ha declarado ser una de las víctimas del reciente arrebato de incursiones cibernéticas MOVEit atribuidas al ransomware Clop.

26 de septiembre de 2023

- SickKids implicado en el compromiso de datos de BORN Ontario que alcanzó a 3,4 millones: 
El Hospital para Niños Enfermos, ampliamente reconocido como SickKids, se enumera entre los proveedores de atención médica afectados por la reciente violación de datos en BORN Ontario.

- Actores maliciosos de ShadowSyndicate asociados a numerosas operaciones de ransomware: Especialistas en seguridad han delineado la infraestructura asociada a un actor malicioso ahora identificado como ShadowSyndicate, quien aparentemente desplegó siete distintas familias de ransomware en ataques ejecutados durante el año anterior.

- Ciberdelincuentes explotan activamente fallo en Openfire para cifrar servidores
Se ha detectado una explotación activa por parte de ciberdelincuentes de una vulnerabilidad crítica en los servidores de mensajería Openfire, con el fin de cifrar servidores mediante ransomware e instalar criptomineros.

27 de septiembre de 2023

- Nueva variante descubierta del Dharma: Se ha descubierto una nueva variante de Dharma que incorpora la extensión .DOOK.

- Nueva variante de Xorist detectada: Se ha identificado una nueva variante de Xorist que incluye la extensión .Got.

- Nuevas versiones detectadas del ransomware STOP: Se ha descubierto nuevas versiones del ransomware STOP que integran las extensiones .mzhi, .mzop y .mzqt.

28 de septiembre de 2023

- FBI: Víctimas de ataques de ransomware duales ahora son objetivo en 48 horas: El FBI ha emitido una advertencia sobre una nueva modalidad en los ataques de ransomware, donde se despliegan múltiples cepas en las redes de las víctimas para cifrar los sistemas en un lapso menor a dos días.

- Nueva variante de Medusa detectada: Se ha encontrado una nueva variante de Medusa que añade la extensión .meduza24.

Te podría interesar leer:  Ransomware Medusa: Una Amenaza Emergente

29 de septiembre de 2023

- Prominente proveedor de atención médica en Michigan confirma ataque de ransomware: Uno de los sistemas de salud más relevantes en Michigan ha confirmado que está enfrentando un ataque de ransomware, tras la ostentación pública del incidente por parte de una notoria banda de ciberdelincuentes.

- Nuevo ransomware con la etiqueta electrónica detectado: Se ha identificado una nueva variante de ransomware que integra el archivo .ELECTRONIC y presenta una nota de rescate titulada README ELECTRONIC.txt.

Educación y Preparación: Las Claves para la Defensa

Para los directivos, gerentes de TI y CTOs, la reciente ola de ataques de ransomware resalta la necesidad de tener una estrategia robusta de ciberseguridad. Es imperativo entender que la ciberseguridad no es una tarea única, sino un proceso continuo que requiere vigilancia y actualización constantes.

Aquí hay algunos puntos cruciales que se deben considerar para fortificar la infraestructura digital de su organización contra amenazas como los ransomware:

1. Capacitación y Conciencia:

   • Educar a todos los trabajadores sobre las prácticas seguras en línea es el primer paso para construir una defensa sólida. Los programas de capacitación deben incluir información sobre cómo reconocer phishing y otros ataques cibernéticos comunes.

2. Implementación de Herramientas de Seguridad Avanzadas:

   • Utiliza software antivirus y antimalware de confianza, junto con otras herramientas de seguridad como firewalls y sistemas de detección y prevención de intrusiones (IDPS).

3. Copias de Seguridad Regularmente Actualizadas:

   • Mantén copias de seguridad actualizadas de todos los datos críticos, y asegúrate de que estén almacenadas en una ubicación segura y separada de su red principal.

4. Plan de Respuesta a Incidentes:

   • Tener un plan bien articulado sobre cómo responder a los incidentes de seguridad puede ayudar a mitigar los daños y a recuperarse más rápidamente.

5. Actualizaciones y Parches:

   • Mantén tus sistemas, aplicaciones y dispositivos actualizados con los últimos parches de seguridad para cerrar cualquier vulnerabilidad que pueda ser explotada por ciberdelincuentes.

6. Monitoreo Continuo:

   • Establece un monitoreo continuo de tu red y sistemas para detectar y responder a las amenazas en tiempo real.

7. Evaluaciones de Seguridad Regulares:

   • Realiza evaluaciones de seguridad regulares para identificar y abordar las vulnerabilidades antes de que puedan ser explotadas.

8. Colaboración con Expertos en Ciberseguridad:

   • Considera trabajar con consultores de ciberseguridad, como TecnetOne, para fortalecer tu postura de seguridad y mantenerse al tanto de las amenazas emergentes.
   
   
   

En la era digital, la seguridad de la información no es un lujo, sino una necesidad crítica. La serie de ataques de ransomware de los Dark Angels es un recordatorio sombrío de la necesidad de fortalecer nuestras defensas y estar siempre un paso adelante de los adversarios cibernéticos.

Para los líderes empresariales, gerentes de TI y CTOs, ahora es el momento de reevaluar y reforzar las estrategias de ciberseguridad para proteger el activo más valioso de su organización: su información. La batalla contra el ciberdelito es ardua y continua, pero con educación, preparación y una estrategia sólida, podemos construir un ciberespacio más seguro para todos.

En TecnetOne te presentamos una solución robusta y proactiva para ayudarte a combatir y prevenir los ataques de ransomware: nuestro SOC as a Service. Con esta oferta, proporcionamos monitoreo de seguridad en tiempo real, detección de amenazas y respuesta rápida a incidentes, todo gestionado por un equipo de expertos en ciberseguridad.

Nuestro SOC as a Service ofrece:

• Vigilancia 24/7 para detectar y responder a cualquier actividad sospechosa en tu red.
• Herramientas avanzadas de análisis y detección que identifican y mitigan las amenazas antes de que puedan causar daño.
• Un equipo altamente calificado que trabaja incansablemente para mantener tu negocio seguro y en conformidad.