{"id":25126,"date":"2021-04-26T09:30:20","date_gmt":"2021-04-26T07:30:20","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25126"},"modified":"2022-05-05T12:05:52","modified_gmt":"2022-05-05T10:05:52","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/top5-ransomware-groups\/25126\/","title":{"rendered":"A la caza de las corporaciones: los 5 principales grupos de ransomware"},"content":{"rendered":"

En los \u00faltimos cinco a\u00f1os, el ransomware<\/em> ha evolucionado<\/a> de ser una amenaza para los ordenadores de particulares a representar un peligro serio para las redes corporativas. Los ciberdelincuentes, que antes se dedicaban simplemente a infectar la mayor cantidad posible de ordenadores, ahora tienen como objetivo a los peces gordos. Los ataques a las organizaciones comerciales y a entidades gubernamentales requieren de una organizaci\u00f3n muy cuidadosa, pero podr\u00edan dar lugar a recompensas de decenas de millones de d\u00f3lares.<\/p>\n

Las bandas de ransomware<\/em> explotan la influencia financiera de las empresas, que tiende a ser mucho mayor que la de los usuarios ordinarios. Es m\u00e1s, muchos grupos de ransomware<\/em> actuales roban datos antes del cifrado, con lo que a\u00f1aden a la ecuaci\u00f3n la amenaza de publicar los datos para ejercer m\u00e1s presi\u00f3n. Para la empresa afectada, esto supone todo tipo de riesgos: desde el da\u00f1o a la reputaci\u00f3n a los problemas con grupos de inter\u00e9s o hasta multas de los reguladores, lo que con frecuencia suma m\u00e1s que el rescate.<\/p>\n

De acuerdo con nuestros datos, el 2016 fue un a\u00f1o decisivo. En unos cuantos meses, la cantidad de ciberataques con ransomware<\/em> a las organizaciones se triplicaron<\/a>: mientras que en enero del 2016 registramos un incidente cada 2 minutos como media, a finales de septiembre, el intervalo se hab\u00eda reducido a 40 segundos.<\/p>\n

Desde el 2019, los expertos se han encontrado de forma regular con campa\u00f1as dirigidas de una serie de ransomware<\/em> conocido como ataques de caza mayor (big-game-hunting <\/em>en ingl\u00e9s). Los propios sitios de los operadores del malware<\/em> muestran las estad\u00edsticas de estos ataques. Por lo que hemos utilizado estos datos para recopilar una clasificaci\u00f3n de los grupos de ciberdelincuentes m\u00e1s activos.<\/p>\n\n

1. Maze (tambi\u00e9n conocido como el ransomware<\/em> ChaCha)<\/h2>\n

El ransomware<\/em> Maze, visto por primera vez en el 2019<\/a>, ascendi\u00f3 r\u00e1pidamente a la primera posici\u00f3n en su tipo de malware<\/em>. De la cantidad total de v\u00edctimas, este ransomware<\/em> es responsable de m\u00e1s de un tercio de los ataques. El grupo responsable de Maze fue uno de los primeros en robar datos<\/a> antes de cifrarlos. Si la v\u00edctima se negaba a pagar el rescate, los ciberdelincuentes amenazaban con publicar los archivos robados. La t\u00e9cnica demostr\u00f3 su eficacia y m\u00e1s tarde fue adoptada por muchas otras operaciones de ransomware<\/em>, entre que las que se incluyen REvil y DoppelPaymer, de las que hablaremos m\u00e1s adelante.<\/p>\n

Otra innovaci\u00f3n es que los ciberdelincuentes comenzaron a informar sobre sus ataques a los medios. De hecho, a finales del 2019, el grupo de Maze habl\u00f3 con Bleeping Computer<\/em> sobre su ataque a la empresa Allied Universal<\/a>, adjuntando algunos archivos robados a modo de prueba. En sus conversaciones por correo electr\u00f3nico con los editores del sitio web, el grupo amenaz\u00f3 con enviar spam<\/em> desde los servidores de Allied Universal y m\u00e1s tarde public\u00f3 los datos confidenciales robados a la empresa en el foro de Bleeping Computer<\/em>.<\/p>\n

Los ataques de Maze continuaron hasta septiembre del 2020, cuando el grupo comenz\u00f3 a reducir sus operaciones<\/a>, aunque no antes de que varias corporaciones internacionales, un banco estatal en Latinoam\u00e9rica y un sistema de informaci\u00f3n de una ciudad en Estados Unidos hubieran sufrido sus actividades. En cada uno de esos casos, los operadores de Maze exigieron varios millones de d\u00f3lares a las v\u00edctimas.<\/p>\n

2. Conti (tambi\u00e9n conocido como el ransomware<\/em> IOCP)<\/h2>\n

Conti apareci\u00f3 a finales del 2019 y estuvo muy activo durante el 2020; fue responsable de m\u00e1s del 13 % de todas las v\u00edctimas de ransomware<\/em> durante ese periodo. Sus creadores siguen en activo.<\/p>\n

Un detalle interesante sobre los ataques de Conti es que los ciberdelincuentes ofrecen ayuda a la empresa a la que se dirigen con su seguridad a cambio de que se comprometa a pagar. Les dicen<\/a> que les dar\u00e1n instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; adem\u00e1s, les recomiendan un software<\/em> especial que es el que m\u00e1s problemas da a los ciberdelinceuntes.<\/p>\n

Como con Maze, el ransomware<\/em> no solo cifra, sino que tambi\u00e9n env\u00eda copias de los archivos desde los sistemas atacados a los operadores del ransomware<\/em>. Despu\u00e9s, los ciberdelincuentes amenazan con publicar la informaci\u00f3n online<\/em> si la v\u00edctima no cumple con sus exigencias. Entre los ataques de Conti de m\u00e1s alto perfil se encuentra el ataque a una escuela de los Estados Unidos<\/a>, seguido de una demanda de rescate de 40 millones de d\u00f3lares. (La administraci\u00f3n afirm\u00f3 que habr\u00eda afrontado hasta un pago de 500000 d\u00f3lares, pero que no iba a negociar una suma tan desorbitad como la que propon\u00edan).<\/p>\n\n

3. REvil (tambi\u00e9n conocido como el ransomware<\/em> Sodin, Sodinokibi)<\/h2>\n

Los primeros ataques con el ransomware<\/em> REvil se detectaron en Asia durante el 2019. El malware<\/em> r\u00e1pidamente llam\u00f3 la atenci\u00f3n<\/a> de los expertos debido a sus habilidades t\u00e9cnicas, como su uso de funciones leg\u00edtimas de la CPU para evadir los sistemas de seguridad. Adem\u00e1s, su c\u00f3digo inclu\u00eda se\u00f1ales caracter\u00edsticas de haber sido creado para su alquiler.<\/p>\n

En las estad\u00edsticas totales, las v\u00edctimas de REvil suman un 11 %. El malware<\/em> afect\u00f3 a casi 20 sectores empresariales. La porci\u00f3n m\u00e1s grande de v\u00edctimas pertenece a los sectores de la ingenier\u00eda y manufacturaci\u00f3n (el 30 %), seguidos de finanzas (el 14 %), los servicios profesionales y de consumo (el 9 %), legal (el 7 %) e inform\u00e1tica y telecomunicaciones (el 7 %). En esta \u00faltima categor\u00eda se encuentra uno de los ataques de ransomware<\/em> de m\u00e1s alto perfil del 2019, cuando los ciberdelincuentes atacaron<\/a> a varios proveedores de servicios gestionados (MSP por sus siglas en ingl\u00e9s) y distribuyeron Sodinokibi entre sus clientes.<\/p>\n

El grupo actualmente ostenta el r\u00e9cord de la demanda de rescate m\u00e1s alta vista hasta ahora<\/a>: de 50 millones de d\u00f3lares a Acer en marzo del 2021.<\/p>\n

4. Netwalker (tambi\u00e9n conocido como el ransomware<\/em> Mailto)<\/h2>\n

De la cantidad total de v\u00edctimas, Netwalker es responsable de m\u00e1s del 10 %. Entre sus objetivos se encuentran gigantes de la log\u00edstica, grupos industriales, corporaciones energ\u00e9ticas y otras grandes corporaciones. En solo unos cuantos meses del 2020, los ciberdelincuentes se hicieron con m\u00e1s de 25 millones de d\u00f3lares<\/a>.<\/p>\n

Sus creadores parecen estar decididos a llevar el ransomware<\/em> a las masas<\/a>. Ofrecieron alquilar Netwalker a estafadores solitarios a cambio de una porci\u00f3n de la ganancia por el ataque. De acuerdo con Bleeping Computer<\/em>, la ganancia del distribuidor del malware<\/em> podr\u00eda alcanzar el 70 %<\/a> del rescate, aunque en estas situaciones normalmente se les paga a los socios mucho menos.<\/p>\n

Como prueba de su intenci\u00f3n, los ciberdelincuentes publicaron capturas de pantalla de grandes transferencias de dinero. Para que el proceso de alquiler sea lo m\u00e1s c\u00f3modo posible, crean un sitio web para publicar de forma autom\u00e1tica los datos robados despu\u00e9s de la fecha l\u00edmite del rescate.<\/p>\n

En enero del 2021, la polic\u00eda se apoder\u00f3<\/a> de los recursos de Netwalker en la dark web<\/em> y acus\u00f3 al ciudadano canadiense Sebastien Vachon-Desjardins de obtener m\u00e1s de 27,6 millones de d\u00f3lares en actividades de extorsi\u00f3n. Vachon-Desjardins era el responsable de encontrar v\u00edctimas, violar su seguridad y desplegar Netwalker en sus sistemas. La operaci\u00f3n policial acab\u00f3 con Netwalker.<\/p>\n

5. El ransomware<\/em> DoppelPaymer<\/h2>\n

El \u00faltimo villano de nuestra redada es DoppelPaymer, un ransomware<\/em> cuyas v\u00edctimas conforman el 9 % dn las estad\u00edsticas totales. Sus creadores tambi\u00e9n dejaron huella con otro malware<\/em>, incluido el troyano bancario Dridex y el ransomware<\/em> ahora extinto BitPaymer (es decir, FriedEx), que se considera una versi\u00f3n previa de DoppelPaymer<\/a>. Por lo que la cantidad total de v\u00edctimas de este grupo es mucho m\u00e1s grande.<\/p>\n

Las organizaciones comerciales atacadas<\/a> por DopplerPaymer incluyen fabricantes de electr\u00f3nica y autom\u00f3viles, as\u00ed como una gran compa\u00f1\u00eda petrolera latinoamericana. Con frecuencia, DoppelPaymer dirige sus ataques a organizaciones gubernamentales en todo el mundo<\/a>, incluidos servicios de sanidad, emergencia y educaci\u00f3n. El grupo tambi\u00e9n lleg\u00f3 a los titulares despu\u00e9s de publicar informaci\u00f3n de los votantes<\/a> robada del Condado de Hall, en Georgia, y recibir<\/a> 500.000 d\u00f3lares del Condado de Delaware, Pennsylvania, ambos en los Estados Unidos. Los ataques de DoppelPaymer siguen en activo: en febrero de este a\u00f1o, un organismo de investigaci\u00f3n europeo anunci\u00f3<\/a> que hab\u00edan sido sufrido un ataque.<\/p>\n\n

M\u00e9todos de ataque dirigido<\/h2>\n

Cada ataque dirigido a una gran empresa es resultado de un proceso largo para encontrar vulnerabilidades en la infraestructura, dise\u00f1ar un escenario y seleccionar las herramientas adecuadas. Despu\u00e9s ocurre la penetraci\u00f3n que esparce el malware<\/em> en toda la infraestructura corporativa. A veces, los ciberdelincuentes permanecen dentro de una red corporativa durante varios meses antes de cifrar los archivos y emitir la demanda.<\/p>\n

Las principales trayectorias hacia la infraestructura tienen lugar mediante:<\/p>\n