La firma de ciberseguridad Sygnia compartió un informe que revela que los ataques a entornos de virtualización continúan siguiendo una secuencia similar de acciones. Estos ataques involucran a varias familias de ransomware, como LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat y Cheerscrypt.
Para mitigar estos riesgos, se recomienda que las organizaciones implementen medidas de seguridad como el monitoreo adecuado, mecanismos de respaldo sólidos, autenticación fuerte, refuerzo del entorno e implementación de restricciones de red para prevenir movimientos laterales.
Rapid7 advirtió sobre una campaña en curso desde principios de marzo de 2024 que utiliza anuncios maliciosos en motores de búsqueda comúnmente utilizados para distribuir instaladores troyanizados de WinSCP y PuTTY, instalando finalmente ransomware.
Esta actividad comparte similitudes tácticas con los ataques de ransomware BlackCat anteriores y sigue a la aparición de nuevas familias de ransomware como Beast, MorLock, Synapse y Trinity. Las estadísticas compartidas por NCC Group muestran una disminución del 15% en los ataques globales de ransomware en abril de 2024 en comparación con el mes anterior, pasando de 421 a 356.
El paisaje de ransomware ha experimentado cambios significativos, con ciberdelincuentes que ofrecen servicios ocultos de Virtual Network Computing (hVNC) y acceso remoto como Pandora y TMChecker. Estos servicios podrían ser utilizados para la exfiltración de datos, el despliegue de malware adicional y facilitar ataques de ransomware.
Vía The Hacker News