En nuestro conjunto de datos de más de 11,000 organizaciones víctimas de un ataque de Ciberextorsión/Ransomware, observamos que algunas víctimas reinciden. En consecuencia, surge la pregunta de por qué observamos una revictimización y si se trata de un segundo ataque real, un cruce de afiliados (significando que un afiliado ha ido a otra operación de Ciberextorsión con la misma víctima) o datos robados que han estado viajando y siendo (mal)utilizados nuevamente. De cualquier manera, para las víctimas, ninguna de estas opciones es una buena noticia.
‘
Sin embargo, primero exploraremos el paisaje actual de amenazas y nos adentraremos en uno de nuestros enfoques más recientes para investigar la dinámica de este ecosistema; y luego exploraremos nuestro conjunto de datos sobre las actividades de aplicación de la ley en este espacio. ¿Podría ser que la recurrencia que observamos sea una artimaña de los actores de amenazas y, por lo tanto, demuestre cuán desesperadamente están tratando de recuperar la confianza de sus cómplices después de los esfuerzos de interrupción por parte de la aplicación de la ley? ¿O simplemente están jugando sucio después de no recibir pagos de la víctima?
‘
Ciberextorsión (Cy-X) o Ransomware, como es más comúnmente conocido, es un tema que ha captado mucha atención en los últimos tres o cuatro años. Hasta el momento, Orange Cyberdefense ha cubierto esta amenaza de manera extensa desde 2020.
‘
Lamentablemente, esto simplemente agrava la realidad. Predecir si este nivel de aumento se mantendrá es difícil. Cy-X puede haber alcanzado un punto de saturación, donde podríamos ver la amenaza de Cy-X continuando en los niveles de 2023. Por otro lado, si seguimos los patrones de recuento de víctimas de los últimos años (números más bajos al principio del año, aumentando a lo largo del año), lo que tendría el efecto opuesto, proporcionándonos un recuento de víctimas en constante crecimiento una vez más. Sin embargo, creemos que los niveles de recuento de víctimas de Cy-X permanecerán estables por ahora, y si tenemos suerte, podría apuntar a una disminución de las víctimas de extorsión.
‘
Han pasado seis meses desde que se discutió el SN24 Cy-X dataset del informe, y mucho ha sucedido durante ese tiempo. El número total de víctimas para el cuarto trimestre de 2023 y el primer trimestre de 2024 asciende a 2,141, casi todas las víctimas registradas durante todo 2022, que fueron 2,220 víctimas. El volumen de este recuento de víctimas es notable dado que dos de los grupos Cy-X más activos fueron (intento de) ser interrumpidos durante este tiempo. La aplicación de la ley (LE) intentó interrumpir a ALPHV en diciembre de 2023, donde mostraron resistencia al «desbloquearse» días después. Luego, LE derribó la infraestructura de LockBit en febrero de 2024; sin embargo, esto solo significó unos días inactivos para LockBit, ya que también lograron volver en línea unos días después de la interrupción inicial. Aunque las dos operaciones Cy-X parecían ser muy resistentes en ese momento, ALPHV (BlackCat) se desconectó a principios de marzo de 2024, «saliendo» del juego con lo que muy probablemente sea un llamado esquema de salida.
En nuestro último informe del Navegador de Seguridad, escribimos que «en 2023, notamos específicamente esfuerzos incrementados para derribar o interrumpir la infraestructura y servicios de alojamiento que los actores de amenazas (mal)utilizaban». Con nuestro conjunto de datos actualizado de los últimos 6 meses, vemos una proporción aún mayor de la categoría «La aplicación de la ley interrumpe». Aquí, recopilamos acciones como anuncios sobre el inicio de fuerzas de tarea internacionales para combatir el Ransomware, la LE engañando a los actores de amenazas para que les proporcionen claves de descifrado, incautación de infraestructura, infiltración en mercados de cibercrimen, etc. Aunque anteriormente hemos discutido si las acciones que vemos ejecutadas con más frecuencia, por ejemplo, arrestos e incautaciones, podrían no ser tan efectivas, las dos últimas acciones de la LE han sido muy interesantes de seguir.
‘
En el caso de ALPHV, que en primera instancia parecía muy resistente a los esfuerzos de LE para interrumpirla, ha huido de la escena y (probablemente) ha realizado un esquema de salida. Esto puede socavar en gran medida «la confianza» dentro del ecosistema de Ransomware como un Servicio (RaaS), y podría haber una disminución a corto plazo en el número de víctimas a medida que los afiliados y otros actores evalúan sus riesgos. Al mismo tiempo, hay un vacío que llenar, y históricamente no tarda mucho en que una nueva (re)marca ocupe este espacio.
‘
Al igual que ALPHV, LockBit ha afirmado haber sobrevivido a la interrupción inicial, pero en el mundo de la ciberextorsión, la reputación lo es todo. ¿Continuarían los afiliados haciendo negocios con el LockBit «revivido» sin preguntarse si podría ser una trampa para la LE?
‘
Sabemos que el ecosistema del cibercrimen es complejo, con muchos actores, roles y acciones diferentes. Esto es muy cierto para el tipo de cibercrimen que estamos monitoreando: ciberextorsión. A lo largo de la última década, el ecosistema de Crimen Cibernético como un Servicio (CaaS) realmente ha evolucionado y agregado varios desafíos para monitorear este crimen. Uno de estos desafíos es que no hay un solo actor de amenazas que ejecute un ataque desde el principio hasta el final.
La última hipótesis podría mostrar cuán impulsados financieramente están los actores de amenazas y cuán desesperados podrían haberse vuelto. Estamos seguros de que podría haber otras variaciones de nuestras hipótesis, pero queríamos mantenerlo lo más simple posible para el siguiente análisis. Queríamos explorar si vemos patrones de revictimizaciones entre los actores. Encontramos más de 100 casos en los que las víctimas habían sido re-publicadas, ya sea en el mismo sitio de filtración del grupo de ciberextorsión o en otro.
Creamos un gráfico de red y agregamos codificación de colores a los nodos. Los nodos verdes representan actores que fueron el segundo en publicar sobre una víctima en particular y resaltan la revictimización. Los nodos azules representan actores que actúan como el origen o el primer publicador de una víctima. Cuando un actor de Cy-X ha sido tanto un posteador por primera vez como por segunda vez, el nodo es por defecto verde. Las flechas son un indicador adicional. Al observar un gráfico de red dirigido de apariciones de víctimas, podemos ver la dirección de la revictimización. Algunos actores de Cy-X con referencias circulares vuelven a publicar víctimas en su propio sitio de filtración de datos. El análisis anterior es un extracto de nuestra investigación actual, planeamos publicar un análisis más extenso en nuestro próximo Cy-Xplorer, nuestro informe anual de Ransomware.
Vía The Hacker News