Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Isabela Garcia Salazar

A la caza de las corporaciones: los 5 principales grupos de ransomware

Los grupos más activos que atacan a las empresas, cifran sus datos y exigen un alto rescate.


Realizado por: Kaspersky teams

En los últimos cinco años, el ransomware ha evolucionado de ser una amenaza para los ordenadores de particulares a representar un peligro serio para las redes corporativas. Los ciberdelincuentes, que antes se dedicaban simplemente a infectar la mayor cantidad posible de ordenadores, ahora tienen como objetivo a los peces gordos. Los ataques a las organizaciones comerciales y a entidades gubernamentales requieren de una organización muy cuidadosa, pero podrían dar lugar a recompensas de decenas de millones de dólares.


Las bandas de ransomware explotan la influencia financiera de las empresas, que tiende a ser mucho mayor que la de los usuarios ordinarios. Es más, muchos grupos de ransomware actuales roban datos antes del cifrado, con lo que añaden a la ecuación la amenaza de publicar los datos para ejercer más presión. Para la empresa afectada, esto supone todo tipo de riesgos: desde el daño a la reputación a los problemas con grupos de interés o hasta multas de los reguladores, lo que con frecuencia suma más que el rescate.


De acuerdo con nuestros datos, el 2016 fue un año decisivo. En unos cuantos meses, la cantidad de ciberataques con ransomware a las organizaciones se triplicaron: mientras que en enero del 2016 registramos un incidente cada 2 minutos como media, a finales de septiembre, el intervalo se había reducido a 40 segundos.


Desde el 2019, los expertos se han encontrado de forma regular con campañas dirigidas de una serie de ransomware conocido como ataques de caza mayor (big-game-hunting en inglés). Los propios sitios de los operadores del malware muestran las estadísticas de estos ataques. Por lo que hemos utilizado estos datos para recopilar una clasificación de los grupos de ciberdelincuentes más activos.


1. Maze (también conocido como el ransomware ChaCha)

El ransomware Maze, visto por primera vez en el 2019, ascendió rápidamente a la primera posición en su tipo de malware. De la cantidad total de víctimas, este ransomware es responsable de más de un tercio de los ataques. El grupo responsable de Maze fue uno de los primeros en robar datos antes de cifrarlos. Si la víctima se negaba a pagar el rescate, los ciberdelincuentes amenazaban con publicar los archivos robados. La técnica demostró su eficacia y más tarde fue adoptada por muchas otras operaciones de ransomware, entre que las que se incluyen REvil y DoppelPaymer, de las que hablaremos más adelante.


Otra innovación es que los ciberdelincuentes comenzaron a informar sobre sus ataques a los medios. De hecho, a finales del 2019, el grupo de Maze habló con Bleeping Computer sobre su ataque a la empresa Allied Universal, adjuntando algunos archivos robados a modo de prueba. En sus conversaciones por correo electrónico con los editores del sitio web, el grupo amenazó con enviar spam desde los servidores de Allied Universal y más tarde publicó los datos confidenciales robados a la empresa en el foro de Bleeping Computer.

Los ataques de Maze continuaron hasta septiembre del 2020, cuando el grupo comenzó a reducir sus operaciones, aunque no antes de que varias corporaciones internacionales, un banco estatal en Latinoamérica y un sistema de información de una ciudad en Estados Unidos hubieran sufrido sus actividades. En cada uno de esos casos, los operadores de Maze exigieron varios millones de dólares a las víctimas.


2. Conti (también conocido como el ransomware IOCP)

Conti apareció a finales del 2019 y estuvo muy activo durante el 2020; fue responsable de más del 13 % de todas las víctimas de ransomware durante ese periodo. Sus creadores siguen en activo.


Un detalle interesante sobre los ataques de Conti es que los ciberdelincuentes ofrecen ayuda a la empresa a la que se dirigen con su seguridad a cambio de que se comprometa a pagar. Les dicen que les darán instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; además, les recomiendan un software especial que es el que más problemas da a los ciberdelinceuntes.


Como con Maze, el ransomware no solo cifra, sino que también envía copias de los archivos desde los sistemas atacados a los operadores del ransomware. Después, los ciberdelincuentes amenazan con publicar la información online si la víctima no cumple con sus exigencias. Entre los ataques de Conti de más alto perfil se encuentra el ataque a una escuela de los Estados Unidos, seguido de una demanda de rescate de 40 millones de dólares. (La administración afirmó que habría afrontado hasta un pago de 500000 dólares, pero que no iba a negociar una suma tan desorbitad como la que proponían).


3. REvil (también conocido como el ransomware Sodin, Sodinokibi)


Los primeros ataques con el ransomware REvil se detectaron en Asia durante el 2019. El malware rápidamente llamó la atención de los expertos debido a sus habilidades técnicas, como su uso de funciones legítimas de la CPU para evadir los sistemas de seguridad. Además, su código incluía señales características de haber sido creado para su alquiler.

En las estadísticas totales, las víctimas de REvil suman un 11 %. El malware afectó a casi 20 sectores empresariales. La porción más grande de víctimas pertenece a los sectores de la ingeniería y manufacturación (el 30 %), seguidos de finanzas (el 14 %), los servicios profesionales y de consumo (el 9 %), legal (el 7 %) e informática y telecomunicaciones (el 7 %). En esta última categoría se encuentra uno de los ataques de ransomware de más alto perfil del 2019, cuando los ciberdelincuentes atacaron a varios proveedores de servicios gestionados (MSP por sus siglas en inglés) y distribuyeron Sodinokibi entre sus clientes.

El grupo actualmente ostenta el récord