{"id":21716,"date":"2021-04-21T15:02:10","date_gmt":"2021-04-21T21:02:10","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21716"},"modified":"2022-05-05T09:48:04","modified_gmt":"2022-05-05T15:48:04","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/top5-ransomware-groups\/21716\/","title":{"rendered":"Cazadores de corporaciones: los 5 principales grupos de ransomware"},"content":{"rendered":"

En los \u00faltimos cinco a\u00f1os, el ransomware<\/em> ha \u00a0evolucionado<\/a> de ser una amenaza para las computadoras individuales a representar un peligro serio para las redes corporativas. Los cibercriminales ya dejaron de solamente tratar de infectar la mayor cantidad posible de computadoras y ahora su objetivo son peces gordos. Los ataques a las organizaciones comerciales y a entidades gubernamentales requieren de organizaci\u00f3n cuidadosa, pero potencialmente podr\u00edan resultar en recompensas de decenas de millones de d\u00f3lares.<\/p>\n

Las bandas de ransomware<\/em> explotan la influencia financiera de las empresas, que tiende a ser mucho mayor que la de los usuarios ordinarios. Es m\u00e1s, muchos grupos de ransomware<\/em> modernos roban datos antes del cifrado, con lo que se agrega la amenaza de publicar para ejercer m\u00e1s presi\u00f3n. Para la empresa afectada, esto acumula todo tipo de riesgos, desde da\u00f1o a la reputaci\u00f3n a problemas con grupos de inter\u00e9s, hasta multas de los reguladores, lo que con frecuencia suma m\u00e1s que el rescate.<\/p>\n

De acuerdo con nuestros datos, el 2016 fue un parteaguas. En unos cuantos meses, la cantidad de ciberataques con ransomware<\/em> a las organizaciones se triplicaron<\/a>: mientras que en enero de 2016 registramos un incidente cada 2 minutos en promedio, para finales de septiembre, el intervalo se hab\u00eda reducido a 40 segundos.<\/p>\n

Desde 2019, los expertos han observado de manera regular campa\u00f1as dirigidas de una serie de ransomware<\/em> llamados cazadores de grandes recompensas (big-game-hunting<\/em>). Los propios sitios de los operadores del malware<\/em> muestran estad\u00edsticas de ataques. Utilizamos estos datos para compilar un ranking de los grupos cibercriminales m\u00e1s activos.<\/p>\n

<\/strong><\/p>\n

1. Maze (tambi\u00e9n conocido como ransomware<\/em> ChaCha)<\/h2>\n

El ransomware<\/em> Maze, visto por primera vez en 2019<\/a>, ascendi\u00f3 r\u00e1pidamente al primer lugar en su tipo de malware<\/em>. De la cantidad total de v\u00edctimas, este ransomware<\/em> es responsable de m\u00e1s de un tercio de los ataques. El grupo detr\u00e1s de Maze fue uno de los primeros en robar datos<\/a> antes de cifrarlos. Si la v\u00edctima se rehusaba a pagar el rescate, los cibercriminales amenazaban con publicar los archivos robados. La t\u00e9cnica demostr\u00f3 su efectividad y m\u00e1s tarde fue adoptada por muchas otras operaciones de ransomware<\/em>, incluidas REvil y DoppelPaymer, de las que hablaremos m\u00e1s adelante.<\/p>\n

Otra innovaci\u00f3n es que los cibercriminales comenzaron a informar sus ataques a los medios. A finales de 2019, el grupo de Maze habl\u00f3 con Bleeping Computer sobre su pirateo a la empresa Allied Universal<\/a>, a lo que adjunt\u00f3 algunos archivos robados como evidencia. En sus conversaciones por correo electr\u00f3nico con los editores del sitio web, el grupo amenaz\u00f3 con enviar spam desde los servidores de Allied Universal, y m\u00e1s tarde public\u00f3 los datos confidenciales pirateados de la empresa en el foro de Bleeping Computer.<\/p>\n

Los ataques de Maze continuaron hasta septiembre de 2020, cuando el grupo comenz\u00f3 a reducir sus operaciones<\/a>, aunque no antes de que varias corporaciones internacionales, un banco estatal en Latinoam\u00e9rica y un sistema de informaci\u00f3n de una ciudad en Estados Unidos hubieran padecido con sus actividades. En cada uno de esos casos, los operadores de Maze exigieron varios millones de d\u00f3lares de las v\u00edctimas.<\/p>\n

2. Conti (tambi\u00e9n conocido como ransomware<\/em> IOCP)<\/h2>\n

Conti apareci\u00f3 a finales de 2019, y estuvo muy activo durante 2020; fue responsable de m\u00e1s de 13% de todas las v\u00edctimas de ransomware<\/em> durante este periodo. Sus creadores siguen activos.<\/p>\n

Un detalle interesante sobre los ataques de Conti es que los cibercriminales ofrecen ayuda a la empresa objetivo con su seguridad a cambio de que se comprometa a pagar. Les dicen<\/a> que les dar\u00e1n instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; adem\u00e1s, les recomendaran un software especial que es el que m\u00e1s problemas les da a los hackers.\u201d<\/p>\n

Como con Maze, el ransomware<\/em> no solo cifra, sino tambi\u00e9n env\u00eda copias de los archivos desde los sistemas pirateados a los operadores del ransomware<\/em>. Posteriormente, los cibercriminales amenazan con publicar la informaci\u00f3n en l\u00ednea si la v\u00edctima no cumple con sus exigencias. Entre los ataques de Conti de m\u00e1s alto perfil est\u00e1 el ataque a una escuela en los Estados Unidos.<\/a>, seguido de una demanda de rescate de $40 millones de d\u00f3lares. (La administraci\u00f3n dijo haber estado lista para pagar $500,000 d\u00f3lares, pero que no iban a negociar una suma de 80 veces esa cantidad.)<\/p>\n

<\/strong><\/p>\n

3. REvil (tambi\u00e9n conocido como ransomware<\/em> Sodin, Sodinokibi)<\/h2>\n

Los primeros ataques con el ransomware<\/em> REvil se detectaron en Asia en 2019. El malware r\u00e1pidamente llam\u00f3 la atenci\u00f3n<\/a> de los expertos debido a sus habilidades t\u00e9cnicas, como su uso de funciones leg\u00edtimas de CPU para evadir los sistemas de seguridad. Adem\u00e1s, su c\u00f3digo inclu\u00eda se\u00f1ales caracter\u00edsticas de haber sido creado para alquiler.<\/p>\n

En las estad\u00edsticas totales, las v\u00edctimas de REvil suman un 11%. El malware<\/em> afect\u00f3 a casi 20 sectores empresariales. La porci\u00f3n m\u00e1s grande de v\u00edctimas est\u00e1 en los sectores de ingenier\u00eda y fabricaci\u00f3n (30%), seguidos de finanzas (14%), servicios profesionales y de consumo (9%), legal (7%) y TI y telecomunicaciones (7%). En esta \u00faltima categor\u00eda se encuentra uno de los ataques de ransomware de m\u00e1s alto perfil de 2019, cuando los cibercriminales piratearon<\/a> a varios proveedores de servicios gestionados (MSP) y distribuyeron Sodinokibi entre sus clientes.<\/p>\n

El grupo actualmente ostenta el r\u00e9cord de la demanda de rescate m\u00e1s grande hasta ahora<\/a>: de $50 millones de d\u00f3lares a Acer en marzo de 2021.<\/p>\n

4. Netwalker (tambi\u00e9n conocido como ransomware<\/em> Mailto)<\/h2>\n

De la cantidad total de v\u00edctimas, Netwalker es responsable de m\u00e1s de 10%. Entre sus objetivos est\u00e1n gigantes de la log\u00edstica, grupos industriales, corporaciones energ\u00e9ticas y otras organizaci\u00f3n grandes. En solo unos cuantos meses en 2020, los cibercriminales se hicieron de m\u00e1s de $25 millones de d\u00f3lares<\/a>.<\/p>\n

Sus creadores parecen estar determinados a llevar el ransomware<\/em> a las masas<\/a>. Ofrecieron alquilar Netwalker a estafadores solitarios a cambio de una porci\u00f3n de la ganancia por el ataque. De acuerdo con Bleeping Computer, la ganancia del distribuidor del malware<\/em> podr\u00eda llegar a 70%<\/a> del rescate, aunque en estas estratagemas normalmente se les paga a los socios mucho menos.<\/p>\n

Como evidencia de su intenci\u00f3n, los cibercriminales publican capturas de pantalla de grandes transferencias de dinero. Para que el proceso de alquiler sea lo m\u00e1s c\u00f3modo posible, arman un sitio web para publicar de manera autom\u00e1tica los datos robados despu\u00e9s de la fecha l\u00edmite para el rescate.<\/p>\n

En enero de 2021, la polic\u00eda se apoder\u00f3<\/a> de los recursos de Netwalker en la dark web<\/em> y acus\u00f3 al ciudadano canadiense Sebastien Vachon-Desjardins de obtener m\u00e1s de $27.6 millones de d\u00f3lares en actividades de extorsi\u00f3n. Vachon-Desjardins era responsable de encontrar v\u00edctimas, violar su seguridad y desplegar Netwalker en sus sistemas. La operaci\u00f3n policial acab\u00f3 con Netwalker.<\/p>\n

5. Ransomware<\/em> DoppelPaymer<\/h2>\n

El \u00faltimo villano de nuestra redada es DoppelPaymer, un ransomware<\/em> cuyas v\u00edctimas conforman el 9% en las estad\u00edsticas totales. Sus creadores tambi\u00e9n dejaron huella con otro malware<\/em>, incluido el troyano bancario Dridex y el ransomware<\/em> ahora extinto BitPaymer (es decir, FriedEx), que se considera una versi\u00f3n previa de DoppelPaymer<\/a>. De manera que la cantidad total de v\u00edctimas de este grupo es mucho m\u00e1s grande.<\/p>\n

Las organizaciones comerciales atacadas<\/a> por DopplerPaymer incluyen fabricantes de electr\u00f3nicos y autom\u00f3viles, as\u00ed como a una gran empresa petrolea latinoamericana. Con frecuencia, DoppelPaymer dirige sus ataques a organizaciones gubernamentales en todo el mundo<\/a>, incluidos servicios de salud, emergencia y educaci\u00f3n. El grupo tambi\u00e9n lleg\u00f3 a los titulares despu\u00e9s de publicar informaci\u00f3n de los votantes<\/a> robada del Condado de Hall, en Georgia, y recibir<\/a> $500,000 d\u00f3lares del Condado de Delaware, Pennsylvania, ambos en los Estados Unidos. Los ataques de DoppelPaymer contin\u00faan hasta ahora: en febrero de este a\u00f1o, un organismo de investigaci\u00f3n europeo anunci\u00f3<\/a> que hab\u00edan sido hackeados.<\/p>\n

<\/strong><\/p>\n

M\u00e9todos de ataque dirigido<\/h2>\n

Cada ataque dirigido a una empresa grande es resultado de un proceso largo para encontrar vulnerabilidades en la infraestructura, dise\u00f1ar un escenario y seleccionar herramientas. Despu\u00e9s ocurre la penetraci\u00f3n que esparce el malware<\/em> en toda la infraestructura corporativa. Los cibercriminales a veces permanecen dentro de una red corporativa durante varios meses antes de cifrar los archivos y emitir la demanda.<\/p>\n

Las principales trayectorias hacia la infraestructura son mediante:<\/p>\n