La cantidad de grupos de doble extorsión de ransomware que publican en sitios de filtración alcanzó un máximo histórico en mayo, con 40 grupos activamente activos en el mes, según la octava edición del informe Estado de la amenaza de Secureworks publicado el martes. sido hecho.
El informe de Secureworks destaca las consecuencias continuas de las interrupciones de la aplicación de la ley en ALPHV/BlackCat y LockBit desde finales de 2023 hasta mediados de 2024, incluida la fragmentación del ecosistema de ransomware como servicio (RaaS) y la descripción general de la difusión de tejidos. Dobles grupos de extorsión, tanto antiguos como nuevos.
“El ransomware es un negocio que no puede sobrevivir sin un modelo de afiliados. Durante el último año, la actividad policial destrozó viejas lealtades y reformuló el negocio del cibercrimen”, dijo la División de Contramedidas de Amenazas de SecureWorks (CTU Don Smith, vicepresidente de inteligencia de amenazas en ). dijo en un comunicado. “Después de una respuesta caótica inicial, los actores de amenazas han refinado sus operaciones y mecanismos, lo que ha resultado en el surgimiento de más grupos respaldados por una importante migración de afiliados”.
En general, desde julio de 2023 hasta finales de junio de 2024, Secureworks CTU experimentó un aumento interanual del 30 % en los grupos activos de ransomware que utilizan tácticas de doble extorsión. Con esta táctica, los datos de la víctima pueden cifrarse, filtrarse y publicarse en el sitio filtrado. Si no se paga el rescate. Durante este período nacieron un total de 31 grupos nuevos, pero muchos grupos más antiguos fueron cerrados o renombrados, lo que elevó el número total de grupos activos a poco menos de 40 a finales de junio.
Afiliadas se disuelven por acción policial
El Informe sobre el estado de las amenazas señala avances significativos en torno a la interrupción en múltiples etapas de Rockbit, que se podría esperar que ocurra en 2024 cuando las agencias multinacionales encargadas de hacer cumplir la ley tomen el control de la infraestructura clave de Rockbit. Comenzó en mayo y continuó hasta mayo de 2024, con gran parte de ella. El funcionamiento interno de la pandilla queda al descubierto. Esto incluye la identidad del administrador principal.
En los tres meses anteriores a la redada de mayo de 2024, 45 grupos de doble extorsión estaban activos, mientras que en los tres meses posteriores a la redada, 55 grupos estaban activos. Esto puede indicar una proliferación y redistribución de afiliados debido a daños a la funcionalidad y reputación de LockBit. Esta segunda interrupción reducirá el número de afiliados de LockBit de 194 antes de febrero de 2024 a solo 69 en mayo de 2024, y también ha quedado claro que muchos afiliados podrían unirse a otras operaciones de RaaS.
Qilin, uno de los grupos sospechosos de defraudar a sus afiliados al eliminar LockBit, publicaba menos de nueve víctimas por mes en su sitio de filtración antes de febrero de 2024, pero desde entonces ha publicado constantemente menos de nueve víctimas por mes. al 19 de mayo. 2024, según Secureworks.
Además de ver un número récord de grupos de doble extorsión activos en mayo, el equipo de Secureworks también informó un número récord de víctimas enumeradas en un solo mes en marzo de 2024, con 730 víctimas enumeradas. Observamos que la víctima figuraba en línea. Sin embargo, muchos de estos listados (330) parecen ser de un actor de amenazas conocido como Dispossessor, que publica principalmente víctimas previamente reclamadas por otro grupo de ransomware (LockBit). La persona responsable de la eliminación fue finalmente arrestada por las fuerzas del orden en agosto de 2024.
Las vulnerabilidades y las credenciales siguen siendo objetivos clave de acceso inicial
A pesar de los cambios sísmicos en el mundo del ransomware y la cambiante distribución de los afiliados, lo que sólo confunde aún más la atribución para los investigadores de ciberseguridad, las tácticas principales utilizadas por los atacantes de ransomware son: Nada ha cambiado y el ransomware sigue siendo la amenaza de ciberseguridad más apremiante para la mayoría de las organizaciones.
Las vulnerabilidades sin parches siguen siendo el mayor vector de acceso inicial para los grupos de ransomware, y los atacantes explotan estas vulnerabilidades en casi el 50 % de los incidentes de ransomware. Secureworks dice que Citrix Netscaler CVE-2023-4966 (Citrix Bleed) es la vulnerabilidad más común dirigida a todos los ataques que aborda, no solo al ransomware, seguida de Citrix Netscaler CVE-2023-3519. Ivanti Pulse Connect dijo que le siguió CVE-2024. 21887.
También se ha observado que las vulnerabilidades en los productos Fortinet, Progress Software, F5 y Cisco a menudo se explotan, y el uso de credenciales robadas en un sistema sin utilizar la autenticación multifactor es un factor de riesgo para el ransomware y fue el segundo vector de acceso inicial más común. utilizado por actores de amenazas.
El informe también describe el tiempo de permanencia del ransomware: un tercio de los ataques tiene un tiempo de permanencia de menos de un día desde la intrusión inicial hasta el despliegue de la carga útil del ransomware. Los investigadores observaron que el tiempo de permanencia más corto observado en un ataque de ransomware fue de sólo siete horas.
Otro tercio de los ataques de ransomware tuvo un tiempo de permanencia de más de un día pero menos de una semana, mientras que el tercio restante tuvo un tiempo de permanencia de más de 10 días. El tiempo de permanencia más largo desde el acceso inicial hasta la implementación del ransomware fue de 135 días.
La velocidad de las vulnerabilidades, la segmentación de credenciales y los ataques demuestran la importancia de corregir rápidamente los errores de seguridad críticos y utilizar MFA resistente al phishing en cuentas confidenciales.
https://packetstormsecurity.com/news/view/36449/Ransomware-Double-Extortion-Group-Listings-Peaked-In-2024.html
