De acuerdo con un reciente informe de amenazas elaborado por Bitdefender, se viene incrementando la actividad ligada al secuestro de datos en los últimos meses del año, con un pico importante en lo que va del presente mes. Según su reporte, al llegar a los primeros diez días de diciembre se descubrieron 647 víctimas de ransomware en todos los sitios de filtración.
KillSec y SafePay son dos grupos de ransomware que están ganando más presencia en el mercado, advirtió el reporte. KillSec es de un grupo ruso de hacktivistas que lanzó un programa RaaS (Ransomware as a Service) y también comercializa servicios como pruebas de penetración y recopilación de OSINT (Open Source INTelligence).
SafePay, que actúa con similitudes a LockBit, emplea técnicas adicionales como el uso de WinRAR y FileZilla para la exfiltración de datos y tácticas de «vivir de la tierra», incluido el lanzamiento SystemSettingsAdminFlows.exe para desactivar las defensas.
Bitdefender, especialista en ciberseguridad, detalló que el ransomware Akira ejecutó un número récord de ataques en noviembre (90) y triplicó lo reportado en julio (30), su marca mensual anterior. Akira está activo desde marzo del 2023 y tiene un potencial de crecimiento significativo para el próximo año, alertaron.
Con relación al ransomware Ymir, destacaron que está empleando tácticas de ejecución únicas con un enfoque de ejecución inusual. Explota funciones de administración de memoria como malloc, memmovey memcmp para ejecutar su código, lo que reduce la probabilidad de detección por parte de antivirus tradicionales y soluciones de detección y respuesta de endpoints (EDR), que a menudo se basan en la identificación de firmas y procesos basados en disco. Ymir generalmente se implementa después de que RustyStealer comprometa sistemas, robe credenciales y permita más ataques.
En cuanto a BianLian, activo desde 2022, advirtieron un cambio de enfoque: ha dejado de centrarse en cifrar los archivos de las víctimas para pasar a extraer datos. Los ataques recientes ya no implican añadir .bianlianextensión a los archivos comprometidos. En su lugar, BianLian emplea scripts de PowerShell y Rclone para robar datos.
Según su reporte, al llegar a los primeros diez días de diciembre se descubrieron 647 víctimas de ransomware en todos los sitios de filtración.
En relación a los ataques para quienes usan el sistema operativo Linux, ha surgido una variante del ransomware Helldown, un grupo de ransomware activo desde agosto de 2024. Ellos han desarrollado una nueva variante que explota vulnerabilidades en los productos de VPN y firewall de Zyxel, incluida CVE-2024-42057, que permite ataques de inyección de comandos. Las operaciones de Helldown también incluyen el robo de credenciales.
CyberVolk, añadieron, también adopta el modelo RaaS. CyberVolk es un grupo de hacktivistas ligado a los intereses de Rusia que también ha lanzado ataques DDoS contra organizaciones específicas. Algunos informes sugieren que las actividades de CyberVolk también pueden involucrar a actores en la India.
Los 10 grupos con más víctimas globales
Bitdefender aclaró que ellos analizan datos de sitios de fugas de ransomware, donde los grupos de atacantes publican su supuesto número de empresas comprometidas. Este método solo captura el número de víctimas declaradas por los delincuentes, no el impacto financiero real de estos ataques, pero permite conocer qué están haciendo las principales familias de delincuentes, precisaron.
