Ataques de ransomware actuales y emergentes en el punto de mira

El nuevo estudio de Coveware muestra que ceder ante las amenazas de ransomware podría conducir a más ataques de ransomware y más complejos.

En un estudio publicado el lunes, la empresa de seguridad afirmó que los pagos de rescate promedio y mediano aumentaron en el primer trimestre de este año, y parece que algunos grupos de ransomware utilizaron el dinero que ganaron para comprar mejores formas de ingresar a las organizaciones. En el primer trimestre, Coveware vio una caída en los correos electrónicos falsos y un aumento en el abuso de las vulnerabilidades del software. Según el estudio, las vulnerabilidades más comunes fueron fallas conocidas en los productos Fortinet y Pulse Secure VPN.

En general, el monto promedio de los ataques de ransomware aumentó un 43%, de $154,108 en el cuarto trimestre de 2020 a $220,298 en el primer trimestre de 2021. En el primer trimestre, el monto promedio aumentó más del 50% a $78,398.

El estudio indica que muchos grupos de amenazas, como los que están detrás de Sodinokobi, Conti V2 y Lockbit, superaron el promedio y la mediana. Pero el ransomware Clop, en particular, estuvo muy activo en el primer trimestre y afectó a muchas personas con demandas de pago muy elevadas.

Coveware dijo que ceder a estas solicitudes da a las personas una falsa sensación de seguridad, conduce a efectos inesperados y crea obligaciones futuras.

Entonces, ¿qué significa esto? ¿Cuáles son los ataques de ransomware actuales y emergentes a los que debemos prestar atención? Consulte este informe técnico para obtener más información.

Entendiendo qué es WannaCry y DearCry

Ransom: Win32/DoejoCrypt.A, también conocido como "DearCry", es una nueva familia de ransomware que infectó a varias organizaciones a través de múltiples vulnerabilidades de día cero en versiones locales de Microsoft Exchange Server. Estas vulnerabilidades fueron utilizadas primero por diferentes actores de amenazas, incluido un grupo de un estado-nación chino, para atacar a las organizaciones.

El primer informe sobre DearCry lo dio el martes Michael Gillespie, autor del servicio gratuito de seguimiento de ransomware de ciberseguridad ID Ransomware. El jueves, tuiteó que una nueva versión con la etiqueta de archivo "DEARCRY!" se estaba enviando al sistema ID Ransomware desde los servidores Exchange.

Gillespie dijo que hasta el jueves, ID Ransomware había recibido informes de DearCry desde seis direcciones IP en los Estados Unidos, Canadá y Australia. MalwareHunterTeam, un grupo de investigadores de seguridad que trabaja con ID Ransomware, dijo en un tuit que también habían recibido informes de personas en Austria y Dinamarca que habían sido afectadas.

BleepingComputer publicó un informe sobre el ransomware de ciberseguridad el jueves por la noche. El informe del ataque del ransomware lo relacionaba con fallas en Microsoft Exchange Server, la más peligrosa de las cuales es ProxyLogon. Más tarde esa noche, Microsoft Security Intelligence envió un tweet que fue su primera respuesta clara a DearCry.

Malware Black Kingdom al cambiar la contraseña de Mega

Los recientes ataques ProxyLogon contra servidores Microsoft Exchange encontraron el ransomware Black Kingdom. Un simple cambio de contraseña lo detuvo, al menos temporalmente. Brett Callow, un investigador de seguridad de Emsisoft, le dijo a SearchSecurity que Black Kingdom creó claves de cifrado y las envió al sitio de almacenamiento en la nube Mega. Pero, dijo, si el ataque de ransomware no puede llegar a Mega, usará una clave estática local en su lugar. Durante los ataques recientes, Black Kingdom no parecía poder proteger las computadoras que buscaba y, en algunos casos, usó la clave estática en su lugar.

"Alguien cambió la contraseña de la cuenta Mega, por lo que el ransomware no puede acceder a ella y vuelve a utilizar la clave codificada", dijo Callow. "Como tenemos la clave codificada, es posible que podamos ayudar a las personas a recuperar sus datos".

No está claro cuándo se cambió la contraseña, pero Callow se lo comunicó a SearchSecurity el lunes por la mañana. SearchSecurity decidió no publicar la información de inmediato para que los atacantes de Black Kingdom no supieran que el ataque de ransomware se había detenido.

El martes, Mark Loman, responsable de ingeniería de tecnologías de última generación en Sophos, escribió una entrada en su blog sobre el ransomware de ciberseguridad. En ella, habló sobre cómo funciona con Mega. Loman le dijo a SearchSecurity que se puede decodificar con la misma clave estática para protegerlo. También dijo con certeza que el software no puede conectarse a Mega.

Descargue el informe técnico de Tech Target para obtener más información sobre Spotlight on Current & Emerging Ransomware Threats solo en Whitepapers Online.