El declive de los grandes grupos de hackers como Conti y REvil ha dado lugar a bandas más pequeñas. Estas nuevas pandillas de ransomware suponen un nuevo y mayor reto para la seguridad informática.

El ecosistema del ransomware ha cambiado significativamente en 2022. Los atacantes han pasado de los grandes grupos que dominaban el panorama a operaciones más pequeñas de ransomware como servicio (RaaS). Lo hicieron en busca de más flexibilidad y de llamar menos la atención de las fuerzas de seguridad.

Esta democratización del ransomware es una mala noticia para las organizaciones. Ha traído consigo una diversificación de las tácticas, técnicas y procedimientos (TTP), más indicadores de compromiso (IOC) que rastrear y potencialmente más obstáculos que sortear al intentar negociar o pagar rescates.

Es probable que podamos datar los cambios acelerados del panorama al menos a mediados de 2021. El ataque de ransomware Colonial Pipeline DarkSide y el posterior desmantelamiento de REvil por parte de las fuerzas de seguridad provocaron la dispersión de varias asociaciones de ransomware. Avanzamos rápidamente hasta este año, en el que la escena del ransomware parece tan dinámica como siempre. Ahora existen varios grupos que se adaptan a los crecientes esfuerzos disruptivos de las fuerzas de seguridad y la industria privada por frenarlos. Luchando en un mercado competitivo que hace que los desarrolladores y operadores cambien continuamente de afiliación en busca de la operación de ransomware más lucrativa.

Los grandes grupos de ransomware atraen demasiada atención

Desde 2019, el panorama del ransomware ha estado dominado por grandes y profesionalizadas operaciones de ransomware. Estas aparecían constantemente en los titulares de las noticias e incluso buscaban la atención de los medios para ganar legitimidad ante las víctimas potenciales. Hemos visto pandillas de ransomware con portavoces que ofrecían entrevistas a periodistas o emitían “comunicados de prensa” en Twitter y en sus sitios web de filtración de datos en respuesta a grandes brechas.

El ataque DarkSide contra Colonial Pipeline provocó una importante interrupción del suministro de combustible a lo largo de la costa este de EE.UU. en 2021. Puso en evidencia el riesgo que pueden tener los ataques de ransomware contra infraestructuras críticas, llevando a un aumento de los esfuerzos para combatir esta amenaza en los niveles más altos del gobierno. Esta mayor atención por parte de las fuerzas de seguridad hizo que los propietarios de foros clandestinos de ciberdelincuencia reconsideraran su relación con los grupos de ransomware, y algunos foros prohibieron la publicidad de tales amenazas.

La invasión de Ucrania por Rusia en febrero de 2022 tensó rápidamente las relaciones entre muchas pandillas de ransomware. Ya que varios tenían miembros y afiliados tanto en Rusia como en Ucrania, u otros países de la antigua URSS. Algunos grupos, como Conti, se apresuraron a tomar partido en la guerra, amenazando con atacar infraestructuras occidentales en apoyo de Rusia. Esto supuso una desviación del enfoque apolítico y empresarial habitual con el que las bandas de ransomware habían dirigido sus operaciones y suscitó las críticas de otros grupos competidores.

La desaparición de Conti provocó un descenso de la actividad de ransomware durante un par de meses. Lamentablemente no duró mucho, ya que el vacío fue ocupado rápidamente por otros grupos. Algunos de estos recién creados son sospechosos de ser creación de antiguos miembros de Conti, REvil y otros que se disolvieron por la misma época.

Principales pandillas activas de ransomware a vigilar en 2023

LockBit toma la delantera

LockBit es el principal grupo que intensificó sus operaciones tras el cierre de Conti. Renovó su programa de afiliados y lanzando una versión nueva y mejorada de su programa de ransomware. Aunque lleva funcionando desde 2019, no ha sido hasta LockBit 3.0 cuando este grupo ha conseguido ponerse a la cabeza del panorama de amenazas de ransomware.

Según informes de múltiples empresas de seguridad, LockBit 3.0 fue responsable del mayor número de incidentes de ransomware durante el tercer trimestre de 2022 y fue el grupo con el mayor número de víctimas listadas en su sitio web de filtración de datos durante todo el año. Este grupo podría ver sus propias escisiones en 2013, ya que un antiguo desarrollador descontento filtró el constructor de LockBit. Ahora cualquiera puede construir su versión personalizada del programa ransomware.

Hive extorsiona más de 100 millones de dólares

El grupo con mayor número de víctimas reclamadas en 2022 después de LockBit es Hive. Según un aviso conjunto del FBI, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU., este grupo consiguió extorsionar más de 100 millones de dólares a más de 1.300 empresas de todo el mundo entre junio de 2021 y noviembre de 2022.

Se sabe que los actores de Hive han vuelto a infectar las redes de las organizaciones víctimas que han restaurado su red sin efectuar el pago del rescate.

La “realeza” de ransomware gana impulso

Otro grupo sospechoso de tener vínculos con Conti y que apareció a principios de este año se llama Royal. Aunque al principio utilizó programas ransomware de otros grupos, como BlackCat y Zeon, el grupo desarrolló su propio encriptador de archivos que parece inspirado o basado en Conti y ganó impulso rápidamente, tomando la delantera a LockBit en número de víctimas en noviembre. A este ritmo, se espera que Royal sea una de las principales amenazas de ransomware en 2023.