En el mundo de la ciberseguridad, los operadores de ransomware han encontrado nuevas formas de adquirir malware, ya sea a través de compras en la dark web, afiliaciones a grupos o mediante códigos fuente filtrados. Este enfoque les permite lanzar ataques devastadores sin la necesidad de desarrollar su propio software malicioso desde cero.
Nuevos actores emergentes
Informes recientes de los analistas de seguridad de Kaspersky Lab han destacado la actividad de nuevos grupos emergentes como SEXi. Este grupo ha comenzado a utilizar variantes filtradas de ransomware específicamente diseñadas para sistemas operativos Windows y Linux, basadas en Lockbit y Babuk respectivamente.
Variantes de ransomware filtradas
SEXi se enfoca principalmente en sistemas ESXi no compatibles, explotando vulnerabilidades en software desactualizado. A diferencia de otros métodos de comunicación de ransomware, SEXi utiliza una aplicación de mensajería en lugar de correos electrónicos tradicionales o sitios de filtración, lo que podría indicar un nivel de operación menos sofisticado.
Grupos en Desarrollo
Otros grupos como Key Group (también conocido como keygroup777) y Mallox representan la evolución del área de ciberdelincuencia. Key Group, activo desde abril de 2022, ha utilizado ocho tipos de ransomware y ha cambiado constantemente sus tácticas, técnicas y procedimientos (TTPs).
Key Group y Mallox
Key Group opera desde Rusia, y a diferencia de otros actores de habla rusa, utiliza plataformas menos seguras como repositorios de GitHub y Telegram. Mallox, por otro lado, lanzó en 2022 un programa de afiliados dirigido específicamente a socios de habla rusa que apuntan a organizaciones con al menos 10 millones de dólares de facturación anual, excluyendo hospitales e instituciones educativas.
Características y Dinámicas
Mallox, aunque no es ampliamente conocido, muestra características de “Big Game Hunting”, con un sitio de filtración y un servidor alojado en TOR. El grupo observa el comportamiento de sus afiliados a través de números de identificación, lo que ayuda a analizar las dinámicas detrás de los ataques de ransomware y las conexiones cambiantes entre los actores de amenazas.
Evolución del Paisaje del Ransomware
El panorama del ransomware ha evolucionado de herramientas poco profesionales dirigidas a consumidores a operaciones sofisticadas que afectan a organizaciones enteras. Aunque es fácil obtener ransomware profesional, es difícil para los amateurs realizar ataques exitosos a grandes objetivos. A menudo, estos ataques parecen poco profesionales pero son efectivos debido a esquemas de afiliación o cuando se enfocan en objetivos específicos.
Indicadores de Compromiso
SEXi:
- 4e39dcfb9913e475f04927e71f38733a
- 0a16620d09470573eeca244aa852bf70
Key Group:
- bc9b44d8e5eb1543a26c16c2d45f8ab7
- acea7e35f8878aea046a7eb35d0b8330
Mallox:
- 00dbdf13a6aa5b018c565f4d9dec3108
- 01d8365e026ac0c2b3b64be8da5798f2
Conclusión
Estos desarrollos revelan una creciente amenaza por versiones de ransomware filtradas o publicadas, tanto para el entorno corporativo como para los usuarios individuales, aunque realizar ataques masivos sigue siendo complejo. Los grupos de amenazas están adaptando continuamente sus tácticas para maximizar su impacto, lo que subraya la importancia de mantener sistemas actualizados y contar con marcos de seguridad robustos, incluso con recursos limitados.