Una nueva investigación ha identificado cuatro grupos de ransomware emergentes que tienen el potencial de convertirse en problemas mayores en el futuro. Se trata de AvosLocker, Hive Ransomware, HelloKitty y LockBit 2.0.
Grupos emergentes de amenazas de ransomware
Los principales grupos de ransomware, como REvil y Darkside, están pasando desapercibidos o cambian de marca para eludir la atención de las fuerzas de seguridad y de los medios de comunicación, por lo que surgirán nuevos grupos que sustituirán a los que ya no atacan activamente a las víctimas.
AvosLocker
Observado por primera vez en julio de 2021, AvosLocker opera dentro del modelo de ransomware como servicio (RaaS) y está controlado por avos, que anuncia sus servicios en el foro de discusión de la web oscura Dread. Su nota de rescate incluye información y una identificación utilizada para identificar a las víctimas, indicando a los infectados que visiten el sitio de AvosLocker Tor para la recuperación y restauración de los datos. Según la investigación, las peticiones de rescate han sido de entre 50.000 y 75.000 dólares en Monero, con infecciones identificadas en siete organizaciones de todo el mundo.
El ransomware Hive
El ransomware Hive, que comenzó a operar en junio de 2021, ha sido detectado dirigiéndose a organizaciones sanitarias y otras empresas mal equipadas para defenderse de los ciberataques, según el informe. El grupo publicó su primera víctima en su sitio de filtraciones Hive Leaks, antes de seguir publicando detalles de otras 28 víctimas. Cuando este ransomware se ejecuta, lanza dos scripts por lotes; el primer script, hive.bat, intenta borrarse a sí mismo, y el segundo script se encarga de borrar las copias en la sombra del sistema (shadow.bat). El ransomware Hive añade la extensión [caracteres aleatorios].hive a los archivos cifrados y deja caer una nota de rescate titulada HOW_TO_DECRYPT.txt que contiene instrucciones y directrices para evitar la pérdida de datos.
Las víctimas son dirigidas a través de la nota de rescate a una función de chat con los atacantes para discutir el descifrado. Los investigadores no pueden especificar el método exacto de entrega del ransomware, pero sugieren que podrían estar en juego medios tradicionales como la fuerza bruta de credenciales o el spear-phishing.
HelloKitty: Edición Linux
La familia HelloKitty surgió en 2020, principalmente dirigida a sistemas Windows. Su nombre proviene del uso de HelloKittyMutex. En 2021, Palo Alto detectó una muestra de Linux (ELF) con el nombre funny_linux.elf que contenía una nota de rescate con una redacción que coincidía directamente con las notas de rescate vistas en muestras posteriores de HelloKitty para Windows. Se descubrieron más muestras, y en marzo comenzaron a dirigirse a ESXi, un objetivo elegido por las variantes recientes de ransomware para Linux.
Curiosamente, el modo de comunicación preferido que comparten los atacantes en las notas de rescate de las diferentes muestras es una mezcla entre URLs de Tor y direcciones de correo electrónico de Protonmail específicas de la víctima. Esto podría indicar diferentes campañas o incluso actores de amenazas completamente diferentes que hacen uso de la misma base de código de malware. Se han detectado peticiones de rescate de hasta 10 millones de dólares en Monero, aunque los atacantes también están dispuestos a aceptar pagos en Bitcoin. El ransomware cifra los archivos utilizando el algoritmo de firma digital de curva elíptica (ECDSA).
LockBit 2.0
Anteriormente conocido como ransomware ABCD, LockBit 2.0 es otro grupo que opera como RaaS. Aunque está en funcionamiento desde 2019, Palo Alto ha descubierto una evolución reciente en los métodos del grupo, y los actores afirman que su variante actual es el software de cifrado más rápido en funcionamiento. Desde junio, el grupo ha comprometido a 52 organizaciones globales. Todas las publicaciones de los actores de la amenaza en su sitio de filtración incluyen una cuenta atrás hasta que la información confidencial se libera al público, lo que crea una presión adicional sobre la víctima. Una vez ejecutado, LockBit 2.0 comienza a cifrar los archivos y añade la extensión .lockbit. Una vez completado el cifrado, una nota de rescate titulada Restore-My-Files.txt notifica a las víctimas del compromiso y ofrece consejos sobre los pasos para el descifrado.
Fuente: CSO
Komentar