El ransomware ha evolucionado últimamente pasando de amenazas directas por email a otras indirectas en las que el correo electrónico es solo una parte más de la cadena de ataque.
Según la empresa de ciberseguridad y cumplimiento normativo Proofpoint, que ha analizado datos desde 2013 hasta hoy para comprender mejor esta tendencia, existe un ecosistema delictivo muy robusto y lucrativo en torno al ransomware en el que tanto individuos como organizaciones se están especializando cada vez más a fin de obtener mayores beneficios para todos excepto, claro está, para quienes serán víctimas de esos ataques. Esta circunstancia unida a los recientes casos de ransomware en organizaciones de perfil alto y los precios de rescate, entre otros motivos, ha hecho que esta amenaza se considere un asunto serio por parte de gobiernos de todo el mundo, entrando incluso en la agenda de la cumbre del G7 de este año.
Los operadores de ransomware suelen contactar con ciberdelincuentes independientes que se infiltran en objetivos importantes para vender ese acceso a cambio de una parte de las ganancias. Entre esos actores maliciosos que forman parte de las redes de afiliados de ransomware podrían estar los que distribuyen malware y otros troyanos bancarios. Estos intermediarios de acceso inicial comprometen a las organizaciones víctimas con malware en una primera etapa para dejar paso luego a los operadores de ransomware que desplegarán operaciones de robo y cifrado de datos.
Las investigaciones de Proofpoint al respecto revelan que los troyanos bancarios han sido el malware más popular durante la primera mitad de 2021, representando casi el 20% del malware detectado en este tipo de campañas. También se ha observado ransomware desplegado mediante el troyano de acceso remoto (RAT) SocGholish, que emplea actualizaciones falsas y redireccionamientos de sitios web para infectar a los usuarios, así como mediante el sistema de distribución de tráfico (TDS) Keitaro o kits de exploits con los que se busca evadir la detección. Asimismo, los autores de ransomware aprovechan vulnerabilidades del software que se ejecuta en dispositivos de red o bien de servicios de acceso remoto con el objetivo de conseguir ese acceso inicial para sus ataques.
Dentro del mapa del ecosistema del ransomware, Proofpoint rastrea en la actualidad aproximadamente una docena de actores de amenazas que operan potencialmente como intermediarios de acceso inicial. Sin embargo, resulta difícil confirmar la colaboración entre estos agentes de acceso y los de ransomware, ya que estos últimos trabajan muy duro para conseguir ocultar su identidad y evitar ser detectados.
Antes de su desmantelamiento a principios de este año, Emotet era uno de los principales distribuidores de malware que provocaba infecciones de ransomware entre 2018 y 2020. Desde que fue desarticulado, los investigadores han observado una actividad constante de The Trick, Dridex, Qbot, IcedID, ZLoader y Ursnif, entre otros, como carga útil de primera etapa en intentos de infección posterior, incluidos los ataques de ransomware. Los investigadores han monitorizado también algunos downloaders, como Buer Loader y BazaLoader, que suelen utilizarse como vector inicial del ransomware. En los últimos seis meses, Proofpoint ha observado unas 300 campañas de este tipo que contenían casi seis millones de mensajes maliciosos. El ransomware Conti, por ejemplo, ha sido vinculado a loaders de primera fase del tipo de Buer, The Trick, Zloader e IcedID. Y, del mismo modo, IcedID se ha asociado con los ransomware Sodinokibi, Maze y Egregor.
Entre los grupos de ataque de gran volumen se encuentran actores rastreados como TA577 y TA800, por citar algunos de los incluidos en la lista que recoge el informe de amenazas de Proofpoint. TA577 ha sido monitorizado desde mediados de 2020 y lleva a cabo amplios ataques en todos los sectores y regiones utilizando cargas útiles como Qbot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike. Según los investigadores, su actividad ha aumentado un 225% solo en los últimos seis meses. Por su parte, TA800 está relacionado con informes de terceros que detallan el empleo del malware BazaLoader para distribuir el ransomware Ryuk.
En cambio, el volumen del ransomware que se distribuye directamente por correo electrónico, ya sea con archivos adjuntos o enlaces maliciosos, es considerablemente menor. Entre 2020 y lo que llevamos de 2021, Proofpoint ha identificado tan solo 54 campañas de ransomware que incluían poco más de un millón de mensajes. El 95% correspondía al ransomware Avaddon, aunque también se ha registrado actividad de otros como Hentai OniChan, BigLock, Thanos, Demonware y Xorist. Aunque estos ataques de ransomware en primera fase tuvieron su punto álgido a partir de 2015, los datos de Proofpoint muestran una caída significativa en 2018 debido a factores como mejoras en la detección de amenazas, acciones de cifrado individuales que tuvieron pagos limitados, así como otras amenazas con capacidades exponencialmente más disruptivas.
Ahora los autores de ransomware llevan a cabo una auténtica “caza mayor” en la que identifican a los objetivos susceptibles o a las organizaciones de más valor, al mismo tiempo que analizan la posible disposición de las mismas a pagar el consecuente rescate. Al trabajar con intermediarios de acceso inicial, pueden aprovecharse de puertas traseras o backdoors existentes para realizar movimientos laterales antes de desplegar la carga útil de ransomware. Y cada vez tardan menos: en algunos incidentes los plazos de infección son de apenas dos días frente a la media de 40 días que había en 2019. Desde Proofpoint ven no obstante posible que con los nuevos esfuerzos centrados en las amenazas y las crecientes inversiones para la ciberdefensa de las cadenas de suministro, los ataques de ransomware puedan disminuir tanto en frecuencia como en eficacia.