El ransomware se difunde a través de correos electrónicos de phishing o sitios web falsos con malware. A pesar de los esfuerzos internacionales, sigue aumentando su actividad dañina, según señala el equipo de investigación de Zscaler ThreatLabz, que afirma que los ciberataques de ransomware aumentaron otro 80% entre febrero de 2021 y marzo de 2022 en comparación con el año anterior.
Junto con las amenazas, crece la esperanza de detener la actividad criminal, y no sin fundamento. Buenas noticias llegaron en enero de 2023, cuando se desmanteló la actividad de Hive, uno de los grupos de ransomware más activos de 2022. El FBI había publicado el informe sobre Hive como resultado de las investigaciones realizadas en noviembre de 2022. Después de unos meses, se desarticuló el grupo en una operación realizada en coordinación con las fuerzas policiales de Estados Unidos, Alemania y Países Bajos, así como con Europol.
Grupos de ransomware peligrosos
Según el balance de ciberseguridad de 2022 publicado por el INCIBE, 1 de cada 4 incidentes gestionados en 2022 fueron fraude online, siendo el phishing 16.902 del total. «Lo más importante en estos casos es nunca pinchar enlaces sino ir por nuestra cuenta a la aplicación o web oficial del servicio para comprobar si tenemos un aviso», además de recordar que «nuestro banco nunca nos pedirá por teléfono claves de acceso ni códigos de verificación», aclara Asier Ruiz Lasarte, especialista en Derecho penal y Compliance.
Para informarnos sobre la actividad de los hackers, a continuación hemos recopilado algunos de los grupos de ransomware más activos utilizando los listados publicados por Symbiolab y Ethical Hacking Consultores.
LockBit
Activo desde 2019, el grupo LockBit opera bajo el modelo de Ransomware-as-a-Service (RaaS). «Es el grupo de ransomware más prolífico, ya que representa más de cuatro de cada diez de todas las víctimas de ransomware publicadas», afirman desde Ethical Hacking Consultores.
Por su parte, Kaspersky lo define como «un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo». LockBit se utiliza para lanzar ataques contra empresas y organizaciones, caracterizándose por amenazar con interrumpir las operaciones o extorsionar para un beneficio financiero por medio del robo de datos como chantaje si la víctima no paga el rescate.
ALPHV/Black Cat
Entre los ransomware más prolíficos se encuentra ALPHV/BlackCat, que se basa en lenguaje de programación Rust. Según aclara Kaspersky, los hackers de ALPHV/BlackCat «brindan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate».
Sus objetivos han incluido infraestructuras críticas como aeropuertos y refinerías de petróleo, así como el Departamento de Defensa de EE. UU. Los investigadores de GReAT estudiaron detenidamente la actividad de este grupo, publicando un informe completo en el sitio web de Securelist.
Vice Society
Rastreado por Microsoft bajo el código DEV-0832, Vice Society es un grupo de hackers de extorsión que apareció a mediados de 2021. Vice Society ha estado llevando a cabo una serie de campañas de ransomware contra instituciones educativas en Estados Unidos, que han sido altamente eficaces debido a la falta de medidas de seguridad adecuadas en las redes de las entidades, y a menudo su resultado fue la pérdida de datos sensibles y el pago de grandes sumas de dinero para recuperar el acceso a los sistemas.
Black Basta
BlackBasta es una amenaza que apareció en marzo de 2022 en varios ataques de ransomware, utilizando técnicas sofisticadas para eludir las medidas de seguridad. Este ransomware utiliza un algoritmo de cifrado muy fuerte que hace que sea casi imposible descifrar los archivos sin la clave de cifrado correcta. Además, tiene la capacidad de borrar las copias de seguridad del sistema, lo que significa que las víctimas no pueden recuperar sus archivos sin pagar el rescate.
Se distribuye a través de correos electrónicos de phishing que parecen ser legítimos, y también puede ser descargado a través de sitios web maliciosos o se puede infiltrar en una red a través de vulnerabilidades en software desactualizado. Según destaca Ethical Hacking Consultores, «se cree que el grupo está formado por miembros de las ahora desaparecidas pandillas Conti», que vendían su tecnología para realizar los ataques, como aclaraba el informe de PWC.
BianLian
BianLian se propaga a través de correos electrónicos de phishing y se basa en el lenguaje Go. Una vez que infecta al equipo de su víctima, el ransomware cifra los archivos y exige un rescate para descifrarlos. Los expertos en seguridad no han encontrado una solución gratuita para recuperar los archivos cifrados. Por otro lado, sugieren que los usuarios protejan sus sistemas mediante el uso de software antivirus actualizado, copias de seguridad regulares y la capacitación en conciencia de seguridad.
