Ransomware: informe de daños 2019

La evolución del ransomware en 2019: los atacantes piensan en grande, profundizan y se vuelven más avanzados en el contexto

Group-IB, una compañía de ciberseguridad con sede en Singapur que se especializa en la prevención de ataques cibernéticos, descubrió que el año 2019 estuvo marcado por la evolución del ransomware y estuvo dominado por campañas de ransomware cada vez más agresivas, con sus operadores recurriendo a TTP más astutos, recordando a los de APT grupos para sacar a sus víctimas.

La cantidad de ataques de ransomware aumentó en un 40 por ciento el año pasado, de acuerdo con los compromisos de respuesta a incidentes de Group-IB y los datos de los investigadores de la industria, mientras que las técnicas tortuosas empleadas por los atacantes los ayudaron a impulsar el rescate promedio más de diez veces en solo un año.

Las familias de ransomware más avariciosas con la mayor recompensa fueron Ryuk, DoppelPaymer y REvil.

Los hallazgos aparecen como aspectos destacados del documento técnico de Group-IB titulado “Ransomware descubierto: los últimos métodos de los atacantes”, que examinan de cerca la evolución de las estrategias de los operadores de ransomware durante el año pasado, publicado hoy.

Caza mayor

El año pasado, los operadores de ransomware maduraron considerablemente, se unieron a Big Game Hunting y fueron más allá del cifrado de archivos.

Más grupos comenzaron a distribuir ransomware, y los anuncios de Ransomware-as-a-Service (RaaS) optaron por centrar sus ataques en redes de grandes empresas en lugar de individuos.

Los TTP empleados por los operadores de ransomware demostraron que llegaron a parecerse a lo que alguna vez se consideró un modus operandi de grupos principalmente de APT: el año pasado incluso hubo relaciones confiables y ataques a la cadena de suministro realizados por operadores de ransomware.

Operadores de ransomware

Otra característica que los operadores de ransomware comenzaron a compartir con los grupos APT fue la descarga de datos confidenciales de los servidores de las víctimas.

Sin embargo, debe tenerse en cuenta que, a diferencia de los grupos APT que descargan la información con fines de espionaje, los operadores de ransomware la descargaron para luego chantajear a sus víctimas para aumentar las posibilidades de que se pague el rescate.

Si no se cumplían sus demandas, intentaban vender la información confidencial en el mercado negro.

Esta técnica fue utilizada por los operadores REvil, Maze y DoppelPaymer.

Big Game Hunters frecuentemente usaba diferentes troyanos para obtener un punto de apoyo inicial en la red objetivo: en 2019, se utilizó una amplia variedad de troyanos en campañas de ransomware, incluidos Dridex, Emotet, SDBBot y Trickbot.

En 2019, la mayoría de los operadores de ransomware usaron activamente marcos de post explotación.

Por ejemplo, Ryuk, Revil, Maze y DoppelPaymer utilizaron activamente tales herramientas, a saber, Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit y Koadic, que les ayudaron a recopilar tanta información como sea posible sobre la red comprometida.

Algunos operadores utilizaron malware adicional durante sus actividades posteriores a la explotación, lo que les dio más oportunidades para obtener datos de autenticación e incluso un control total sobre los dominios de Windows.

Cómo todo empezó

En 2019, la mayoría de los operadores de ransomware usaron correos electrónicos de phishing, intrusión a través de servicios remotos externos, especialmente a través de RDP, y compromiso de manejo como vectores de ataque iniciales.

Los correos electrónicos de phishing continuaron siendo la técnica de acceso inicial más común.

Los principales admiradores de esta técnica fueron Shade y Ryuk.

El actor de amenazas TA505, motivado financieramente, también comenzó sus campañas de ransomware Clop desde un correo electrónico de phishing que contenía un archivo adjunto armado que descargaría FlawedAmmy RAT o SDBBot, entre otros.

El año pasado, el número de servidores accesibles con un puerto abierto 3389 creció a más de 3 millones, con la mayoría de ellos ubicados en China, Estados Unidos, Alemania, Brasil y Rusia.

Este vector de ataque se popularizó entre los cibercriminales por el descubrimiento de cinco nuevas vulnerabilidades del Servicio de escritorio remoto, ninguna de las cuales fue explotada con éxito.

Dharma y Scarab

Los operadores de Dharma y Scarab fueron los usuarios más frecuentes de este vector de ataque.

En 2019, los atacantes también usaron con frecuencia sitios web infectados para entregar ransomware.

Una vez que un usuario se encuentra en dicho sitio web, es redirigido a sitios web, que intentan aprovechar vulnerabilidades en, por ejemplo, sus navegadores.

Los kits de exploits más utilizados en estos ataques automáticos fueron RIG EK, Fallout EK y Spelevo EK.

Algunos actores de amenazas, como los operadores Shade (Troldesh) y STOP, encriptaron inmediatamente los datos de los hosts inicialmente comprometidos, mientras que muchos otros, incluidos los operadores Ryuk, REvil, DoppelPaymer, Maze y Dharma, recopilaron información sobre la red intrusa, moviéndose lateralmente y comprometer infraestructuras de red completas.

La lista completa de los TTP descritos en el documento técnico se puede encontrar en el mapa de calor a continuación, que se basa en la revolucionaria matriz ATT & CK de MITRE. Se ordenan del más utilizado (rojo) al menos utilizado (verde).

Figura 1 - Mapa de calor de los TTP de los operadores de ransomware basados ​​en la matriz ATT & CK de MITRE

Figura 1 – Mapa de calor de los TTP de los operadores de ransomware basados ​​en la matriz ATT & CK de MITRE

Cambiador de juego

Después de una relativa calma en 2018, el año de 2019 vio que el ransomware regresaba con toda su fuerza, con el número de

Los ataques de nsomware crecieron un 40 por ciento en 2019 año tras año.

Los objetivos más grandes determinaron mayores rescates: la cifra promedio aumentó de $ 8,000 en 2018 a $ 84,000 el año pasado, según los investigadores de la industria.

Ryuk, DoppelPaymer y REvil ransomware

Las familias de ransomware más agresivas y codiciosas fueron Ryuk, DoppelPaymer y REvil, cuya demanda de rescate alcanzó los $ 800,000.

“El año de 2019 estuvo marcado por operadores de ransomware que mejoraron sus posiciones, se trasladaron a objetivos más grandes y aumentaron sus ingresos, y tenemos buenas razones para creer que este año celebrarán con logros aún mayores”, comenta el Especialista forense digital del Group-IB Oleg Skulkin.

“Es probable que los operadores de ransomware continúen expandiendo su grupo de víctimas, enfocándose en industrias clave, que tienen suficientes recursos para satisfacer sus apetitos.

Ha llegado el momento de que cada compañía decida si invertir dinero para aumentar su ciberseguridad para hacer que sus redes sean inaccesibles para los actores de amenazas o arriesgarse a que se les acerque con la demanda de rescate y se caigan por sus fallas de seguridad”.

A pesar del vim, mostrado recientemente por los operadores de ransomware, todavía hay una serie de medidas que se pueden tomar para evitar los ataques de ransomware.

Incluyen, entre otros, usar VPN cada vez que acceden a servidores a través de RDP, crear contraseñas complejas para las cuentas utilizadas para acceder a través de RDP y cambiarlas regularmente, restringiendo la lista de direcciones IP que se pueden usar para hacer conexiones RDP externas, y muchas otras.

Se pueden encontrar más recomendaciones en la sección correspondiente del documento técnico.

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam