Los grupos de ransomware están recurriendo cada vez más al cifrado remoto en sus ataques, lo que marca una nueva escalada en las tácticas adoptadas por actores financieramente motivados para asegurar el éxito de sus campañas.
«Las empresas pueden tener miles de ordenadores conectados a su red, y con ransomware remoto, todo lo que se necesita es un dispositivo sin protección para comprometer toda la red», dijo Mark Loman, vicepresidente de investigación de amenazas en Sophos.
«Los atacantes saben esto, por lo que buscan esa debilidad, y la mayoría de las empresas tienen al menos una. El cifrado remoto va a seguir siendo un problema perenne para los defensores.»
El cifrado remoto (también conocido como ransomware remoto), como su nombre indica, se produce cuando un punto final comprometido se utiliza para cifrar datos en otros dispositivos de la misma red.
En octubre de 2023, Microsoft reveló que alrededor del 60% de los ataques de ransomware ahora involucran cifrado remoto malicioso en un esfuerzo por minimizar su presencia, y más del 80% de todas las violaciones originan de dispositivos no administrados.
«Sophos dijo que las familias de ransomware conocidas por el soporte de cifrado remoto incluyen Akira, ALPHV/BlackCat, BlackMatter, LockBit y Royal, y es una técnica que ha estado presente desde hace tiempo: CryptoLocker lo usaba para atacar las comparticiones de red desde 2013».
Una ventaja significativa de este enfoque es que hace que las medidas de remedación basadas en procesos sean ineficaces, y las máquinas administradas no pueden detectar la actividad maliciosa, ya que solo está presente en un dispositivo no administrado.
Este desarrollo se produce en medio de cambios más amplios en el panorama del ransomware, con los actores amenazantes adoptando lenguajes de programación atípicos, apuntando más allá de los sistemas de Windows, subastando datos robados y lanzando ataques después del horario de oficina y en fines de semana para frustrar los esfuerzos de detección y respuesta a incidentes.
Sophos, en un informe publicado la semana pasada, destacó la «relación simbiótica -pero a menudo inestable- entre las bandas de ransomware y los medios de comunicación», como una forma de no sólo atraer atención, sino también controlar la narrativa y disputar lo que ellos consideran una cobertura inexacta.
Esto también se extiende a la publicación de preguntas frecuentes y comunicados de prensa en sus sitios de filtración de datos, incluyendo citas directas de los operadores, y corrigiendo errores cometidos por los periodistas. Otra táctica es el uso de nombres llamativos y gráficos elegantes, indicando una evolución de la profesionalización del cibercrimen.
«Sophos señaló que el grupo RansomHouse, por ejemplo, tiene un mensaje en su sitio de filtración de datos dirigido específicamente a los periodistas, en el que ofrece compartir información en un ‘canal de Telegram de RP’ antes de que se publique oficialmente».
Si bien se sabe que grupos de ransomware como Conti y Pysa adoptan una estructura organizativa que comprende ejecutivos senior, administradores de sistemas, desarrolladores, reclutadores, equipos de recursos humanos y legales, hay evidencia que sugiere que algunos han anunciado oportunidades para escritores y hablantes de inglés en foros criminales.
«La participación de los medios de comunicación proporciona a las bandas de ransomware ventajas tácticas y estratégicas; les permite ejercer presión sobre sus víctimas, al tiempo que les permite dar forma a la narrativa, inflar su propia notoriedad y ego, y así mismo, ‘mitologizarse'», dijo la compañía.
