Explicación: Cinco grupos de ransomware representan el 40,54% de los ataques de ransomware en 2024: LockBit, Play, BlackBasta, Akira y 8Base.
A medida que termina este año y nos acercamos al 2025, los equipos de seguridad deben estar al tanto de las estrategias cambiantes de estos atacantes y priorizar sus defensas en consecuencia. El aumento de estos grupos es indicativo de una tendencia más amplia en la que los ataques de ransomware se están volviendo más organizados, sofisticados y entrelazados con motivaciones geopolíticas.
Los defensores deben anticipar que estos grupos seguirán perfeccionando sus tácticas y que sus equipos también necesitarán evolucionar sus prácticas de ciberseguridad. Es importante que los profesionales de la seguridad comprendan mejor las características de los cinco grupos y el impacto más amplio de las amenazas para aprender cómo mitigarlos y adelantarse a ellos.
A continuación se muestra un análisis basado en nuestro reciente informe de inteligencia sobre amenazas.
LockBit: empresa estratégica
LockBit es uno de los atacantes de ransomware más consistentes del mundo. LockBit Green, una nueva variante de LockBit conocida por su modelo Ransomware-as-a-Service (RaaS), incorpora código de Conti con capacidades mejoradas de cifrado y extorsión.
(Las columnas de SC Media Perspectives están escritas por la comunidad confiable de expertos en ciberseguridad de SC Media. Obtenga más información sobre Perspectives).
La capacidad del grupo para lanzar variantes con técnicas de cifrado avanzadas y adaptarse rápidamente a nuevos objetivos indica un alto nivel de organización. Dado que la actividad de LockBit abarca entornos Windows y Linux, está claro que los grupos de ransomware se centran cada vez más en ataques multiplataforma, lo que les permite atacar una gama más amplia de organizaciones, incluida la infraestructura crítica.
Para protegerse de LockBit, priorice las medidas de seguridad en los sistemas Windows y Linux. Esto incluye implementar copias de seguridad segmentadas, fortalecer los mecanismos de control de acceso, detectar rápidamente actividad criptográfica anómala y más.
Jugar: Oportunista calculador
Play ransomware ha experimentado un aumento en la actividad, principalmente mediante la exfiltración de datos y la extorsión de sistemas antes de cifrarlos. Este grupo a menudo explota vulnerabilidades en sistemas sin parches a través de sofisticadas campañas de phishing, lo que representa una seria amenaza para las organizaciones que dependen de defensas perimetrales. El enfoque de Play muestra que los atacantes de ransomware se centran cada vez más en la exfiltración antes que en el cifrado, lo que les permite obtener una ventaja incluso antes de que se bloqueen los sistemas. Este enfoque representa un cambio en las tácticas de ransomware, donde el robo de datos previo al cifrado amplifica los esfuerzos de extorsión, creando una doble amenaza para la privacidad de los datos y la continuidad del negocio.
Las organizaciones deben centrarse en sistemas avanzados de detección y respuesta de terminales (EDR) que puedan identificar intentos de filtración de datos antes de que se implemente el ransomware. Parchar periódicamente las vulnerabilidades y concienciar a los empleados sobre los ataques de phishing también son pasos importantes.
BlackBasta: Destructor implacable
BlackBasta ha ganado rápidamente impulso desde su aparición, apuntando a industrias de alto impacto como la atención médica, la infraestructura crítica y las finanzas. El grupo utiliza un modelo de extorsión dual que combina el robo de datos y el cifrado para obligar a las víctimas a pagar. Dado su enfoque en industrias críticas para la seguridad nacional, BlackBasta puede estar evolucionando desde motivaciones puramente financieras hacia objetivos más estratégicos teniendo en mente a los actores del Estado-nación. Esto pone de relieve la importante convergencia entre el delito cibernético y la seguridad nacional, que podría tener implicaciones de largo alcance para la estabilidad global.
Los equipos de seguridad deben reforzar los productos de seguridad del correo electrónico e implementar la autenticación multifactor (MFA) para evitar la intrusión inicial. Realice evaluaciones de seguridad periódicas para identificar y abordar las debilidades en la segmentación de su red y las estrategias de respaldo.
Akira: recién llegado oculto
Akira se ha convertido silenciosamente en un actor de amenazas de alto perfil que se especializa en atacar a pequeñas y medianas empresas (PYME) infiltrándose en redes utilizando credenciales RDP comprometidas. El enfoque de Akira en las pequeñas y medianas empresas representa una explotación estratégica de organizaciones con recursos limitados que pueden no tener las mismas defensas de ciberseguridad que las empresas más grandes. Este enfoque proporciona información de inteligencia crítica a medida que los actores de amenazas se centran cada vez más en las cadenas de suministro, que normalmente tienen defensas de seguridad más débiles, al tiempo que sirven como valiosos puntos de entrada a objetivos más grandes y visibles que resaltan las preocupaciones.
Los equipos deben restringir el acceso RDP a sistemas críticos, imponer el uso de credenciales sólidas y limitar el acceso a IP confiables. Especialmente las pequeñas empresas que se consideran vulnerables a los ataques deben monitorear periódicamente los intentos de inicio de sesión anómalos.
8Base: atacante que se mueve rápido
8Base es un grupo relativamente nuevo, pero ha surgido como un grupo de ransomware agresivo y de rápido movimiento. El enfoque de “rociar y orar” del grupo, que implica atacar a muchas organizaciones una tras otra, tiende a tener una alta tasa de éxito debido al gran volumen de sus ataques. A medida que los actores de amenazas como 8Base se vuelven más oportunistas, una gama más amplia de organizaciones enfrentan riesgos. Su capacidad para explotar incluso pequeñas vulnerabilidades dificulta que los defensores predigan y prioricen los ataques, lo que los obliga a fortalecer las defensas en todos los sectores. La dependencia del malware básico y de las herramientas de código abierto sugiere una barrera de entrada más baja para los ataques de ransomware, con importantes implicaciones para la ciberseguridad global.
Las organizaciones deben mantener actualizadas las configuraciones de seguridad del software comúnmente explotado. Las defensas están optimizadas para detectar y neutralizar el malware común y las herramientas de código abierto utilizadas por dichos grupos. Mantenerse alerta y probar de forma proactiva su seguridad es esencial para reducir la probabilidad de una intrusión exitosa.
El dominio de estos cinco grupos de ransomware a principios de 2024 es un claro llamado a la acción para los equipos de ciberseguridad. Cada grupo desarrolla tácticas especializadas que requieren estrategias de defensa multifacéticas, desde la adaptabilidad multiplataforma de LockBit hasta la extorsión centrada en datos de Play y los ataques rápidos y oportunistas de 8Base. Hay cuatro prioridades clave para los equipos de seguridad:
Defensa multiplataforma: protege los sistemas Windows y Linux. Protege específicamente contra las variantes LockBit y Play. Detección avanzada de endpoints: mejore las capacidades de EDR para detectar tempranamente la filtración de datos y la implementación de ransomware. Gestión de parches: aborde rápidamente las vulnerabilidades, especialmente en sistemas de acceso remoto como RDP y VPN. Protección de la cadena de suministro: no pase por alto las pequeñas empresas y los socios comerciales que pueden ser puntos de entrada críticos para ataques a gran escala.
A medida que las tácticas de ransomware continúan evolucionando, las defensas deben evolucionar con ellas. La información obtenida de estos grupos de ransomware subraya la necesidad urgente de fortalecer la ciberseguridad, así como tendencias más amplias que requieren la colaboración entre empresas privadas y agencias de inteligencia gubernamentales para proteger la seguridad nacional.
Callie Guenther, directora sénior, investigación de amenazas cibernéticas, Critical Start
Las columnas de SC Media Perspectives están escritas por la comunidad confiable de expertos en ciberseguridad de SC Media. El propósito de cada contribución es aportar una voz original a temas importantes de ciberseguridad. Nos esforzamos por garantizar que nuestro contenido sea de la más alta calidad, objetivo y no comercial.
https://www.scmagazine.com/perspective/four-ways-to-stay-ahead-of-the-ransomware-threat