La Oficina Federal de Investigaciones (FBI) de los Estados Unidos advierte sobre una nueva tendencia de ataques duales de ransomware dirigidos a las mismas víctimas, al menos desde julio de 2023.
“Durante estos ataques, los actores de amenazas cibernéticas desplegaron dos variantes diferentes de ransomware contra las compañías víctimas de las siguientes variantes: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal”, dijo el FBI en una alerta. Las variantes se implementaron en varias combinaciones”.
No se sabe mucho sobre la escala de tales ataques, aunque se cree que ocurren muy cerca unos de otros, desde entre 48 horas y 10 días.
Otro cambio notable observado en los ataques de ransomware es el mayor uso del robo de datos personalizados, herramientas de limpieza y malware para ejercer presión sobre las víctimas para que paguen.
“Este uso de variantes duales de ransomware resultó en una combinación de cifrado de datos, exfiltración y pérdidas financieras por pagos de rescate”, dijo la agencia. “Los segundos ataques de ransomware contra un sistema ya comprometido podrían dañar significativamente a las víctimas”.
Vale la pena señalar que los ataques duales de ransomware no son un fenómeno completamente nuevo, con casos observados ya en mayo de 2021.
El año pasado, Sophos reveló que un proveedor automotriz no identificado había sido golpeado por un triple ataque de ransomware que incluía Lockbit, Hive y BlackCat en un lapso de dos semanas entre abril y mayo de 2022.
Luego, a principios de este mes, Symantec detalló un ataque de ransomware 3AM dirigido a una víctima no identificada después de un intento fallido de entregar LockBit en la red de destino.
El cambio en las tácticas se reduce a varios factores contribuyentes, incluida la explotación de vulnerabilidades de día cero y la proliferación de corredores de acceso inicial y afiliados en el panorama del ransomware, que pueden revender el acceso a los sistemas de las víctimas y desplegar varias cepas en rápida sucesión.
Se aconseja a las organizaciones que fortalezcan sus defensas manteniendo copias de seguridad sin conexión, monitoreando las conexiones remotas externas y el uso del protocolo de escritorio remoto (RDP), aplicando la autenticación multifactor resistente al phishing, auditando las cuentas de usuario y segmentando las redes para evitar la propagación de ransomware.
