Llegamos a ustedes gracias a:



Alertas de Seguridad

4 grupos emergentes de amenazas de ransomware

De acuerdo a una nueva investigación

[10/09/2021] Una nueva investigación de la Unidad 42 de Palo Alto Networks ha identificado cuatro grupos emergentes de ransomware que tienen el potencial de convertirse en problemas mayores en el futuro. Se trata de AvosLocker, Hive Ransomware, HelloKitty y LockBit 2.0.

Grupos emergentes de amenazas de ransomware

"Con los principales grupos de ransomware, como REvil y Darkside, que se mantienen al margen o cambian de marca para eludir la atención de las fuerzas de seguridad y de los medios de comunicación, surgirán nuevos grupos que sustituirán a los que ya no atacan activamente a las víctimas", afirma el último informe de la empresa de seguridad Ransomware Groups to Watch: Emerging Threats. Dentro de la investigación, Doel Santos, analista de inteligencia de amenazas, y Ruchna Nigam, investigadora principal de amenazas, detallaron los comportamientos de los cuatro grupos de ransomware.

AvosLocker

Observado por primera vez en julio del 2021, AvosLocker opera dentro del modelo de ransomware como servicio (RaaS) y está controlado por avos, que anuncia sus servicios en el foro de discusión de la web oscura Dread. Su nota de rescate incluye información y un documento de identidad utilizado para identificar a las víctimas, indicando a los infectados que visiten el sitio de AvosLocker Tor para la recuperación y restauración de los datos. Según la investigación, las peticiones de rescate han sido de entre 50 mil y 75 mil dólares en Monero, con infecciones identificadas en siete organizaciones alrededor del mundo.

Hive Ransomware

Según el informe, Hive Ransomware, que comenzó a operar en junio del 2021, ha sido detectado dirigiéndose a organizaciones sanitarias y otras empresas mal equipadas para defenderse de los ciberataques. El grupo publicó su primera víctima en su sitio de filtraciones Hive Leaks, antes de seguir publicando detalles de otras 28 víctimas. "Cuando este ransomware es ejecutado, lanza dos scripts por lotes", escribieron los investigadores. "El primero, hive.bat, intenta borrarse a sí mismo, y el segundo se encarga de borrar las instantáneasdel sistema (shadow.bat). Hive Ransomware añade la extensión [randomized characters].hive a los archivos cifrados y deja caer una nota de rescate titulada HOW_TO_DECRYPT.txt que contiene instrucciones y directrices para evitar la pérdida de datos".

Las víctimas son dirigidas a través de la nota de rescate a una función de chat con los atacantes para discutir el descifrado. Los investigadores no pueden especificar el método exacto de entrega del ransomware, pero sugieren que podrían estar en juego medios tradicionales como la fuerza bruta de credenciales o el spear-phishing.

HelloKitty: Edición Linux

La familia HelloKitty surgió en el 2020, principalmente dirigida a sistemas Windows. Su nombre proviene del uso de HelloKittyMutex. En el 2021, Palo Alto detectó una muestra de Linux (ELF) con el nombre funny_linux.elf que contenía una nota de rescate con una redacción que coincidía con las vistas en muestras posteriores de HelloKitty para Windows. Se descubrieron más muestras, y en marzo comenzaron a dirigirse a ESXi, un objetivo elegido por las variantes recientes de ransomware para Linux.

"Curiosamente, el modo de comunicación preferido que comparten los atacantes en las notas de rescate de las diferentes muestras es una mezcla entre URLs de Tor y direcciones de correo electrónico de Protonmail específicas de la víctima", escribieron los investigadores. "Esto podría ser indicio de diferentes campañas o incluso actores de amenazas completamente distintos que hacen uso de la misma base de código de malware." Se han detectado peticiones de rescate de hasta 10 millones de dólares en Monero, aunque los atacantes también están dispuestos a aceptar pagos en Bitcoin. El ransomware cifra los archivos utilizando el algoritmo de firma digital de curva elíptica (ECDSA).

LockBit 2.0

Anteriormente conocido como ransomware ABCD, LockBit 2.0 es otro grupo que opera como RaaS. Aunque está en funcionamiento desde el 2019, Palo Alto ha descubierto una evolución reciente en los métodos del grupo y los actores afirman que su variante actual es el software de cifrado más rápido en funcionamiento. Desde junio, el grupo ha comprometido a 52 organizaciones globales. "Todas las publicaciones de los hackers en su web de filtraciones incluyen una cuenta regresiva hasta la publicación de la información confidencial, lo que crea una presión adicional sobre la víctima", escribieron los investigadores. Una vez ejecutado, LockBit 2.0 comienza a cifrar los archivos y añade la extensión .lockbit. Una vez completado el cifrado, una nota de rescate titulada Restore-My-Files.txt notifica a las víctimas del acuerdo y ofrece consejos sobre los pasos para el descifrado.