El Buró Federal de Investigaciones (FBI) de los EE. UU. recientemente anunció que, junto con otros organismos internacionales, logró neutralizar la infraestructura en línea vinculada a un grupo de ransomware emergente llamado Radar/Dispossessor.
Este esfuerzo resultó en el desmantelamiento de 3 servidores en los EE. UU., 3 en el Reino Unido y 18 en Alemania, así como 8 dominios delictivos con sede en los EE. UU. y 1 en Alemania. Según el FBI, Dispossessor, liderado por un individuo que usa el seudónimo en línea «Brain«, se ha convertido en un grupo de ransomware de alcance internacional desde su origen en agosto de 2023.
La declaración del FBI señaló que Radar/Dispossessor ha atacado a empresas y organizaciones de tamaño mediano a pequeño en sectores como producción, desarrollo, educación, atención médica, finanzas y transporte. Hasta 43 empresas, incluidas algunas en Argentina, Australia, Bélgica, Brasil, Canadá, Croacia, Alemania, Honduras, India, Perú, Polonia, Emiratos Árabes Unidos, Reino Unido y EE. UU., han sido identificadas como víctimas de los ataques de Dispossessor.
Dispossessor se perfila como un grupo de ransomware como servicio (RaaS) que emplea el modelo de doble extorsión. Este método implica exfiltrar los datos de las víctimas para exigir un rescate además de cifrar sus sistemas. Aquellas entidades que se niegan a pagar enfrentan la amenaza de que se expongan sus datos.
Los ataques de Dispossessor se basan en la explotación de vulnerabilidades de seguridad o contraseñas débiles como punto de entrada para comprometer los sistemas y obtener un acceso que les permita cifrar los datos de las víctimas.
El FBI reportó que, tras el ataque a una empresa, el grupo criminal se comunicaba proactivamente con otros miembros de la organización, ya sea por correo electrónico o llamadas telefónicas. Los correos electrónicos contenían enlaces a plataformas de video que presentaban los archivos previamente robados, con el fin de aumentar la presión sobre la víctima para que pagara el rescate.
Se ha observado que los grupos Radar y Dispossessor comparten las mismas herramientas privadas, métodos y accesos, y dividen las ganancias. Además, se cree que los integrantes del grupo Dispossessor son antiguos asociados de LockBit que decidieron iniciar sus propias operaciones.
Otros informes de seguridad cibernética indican que el grupo Dispossessor ha estado promocionando la descarga y venta de datos filtrados, incluso de otras operaciones, como Cl0p, Hunters International y 8Base.
Estas acciones revelan una mayor atención de las agencias policiales para combatir la amenaza persistente del ransomware, a pesar de la continua innovación y adaptación de los actores de amenazas en el cambiante panorama.
Además, se evidencia un aumento en los ataques dirigidos a contratistas y proveedores de servicios, lo que resalta cómo los actores de amenazas aprovechan las relaciones de confianza para llevar a cabo ataques a gran escala con menor esfuerzo y mayor sigilo.
Los datos recopilados por Palo Alto Networks Unit 42 muestran que las industrias más afectadas por el ransomware durante la primera mitad de 2024 fueron manufactura (16.4%), atención médica (9.6%) y construcción (9.4%). Asimismo, ha habido una significativa incidencia de ataques en países como EE. UU., Canadá, Reino Unido, Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
Este escenario se ve influido por la explotación de vulnerabilidades recientemente reveladas, un aspecto que los atacantes explotan ágilmente para acceder a las redes de las víctimas y cifrar sus datos.
Por último, el incremento en la aparición de nuevos grupos de ransomware y la profesionalización de los modelos de RaaS subraya la necesidad de una mayor vigilancia y defensa cibernética en todos los sectores para contrarrestar estas amenazas en evolución constante.
Vía The Hacker News
