AlphV/Blackcat, Rhysida, LockBit… No son estrellas del fútbol, ni cantantes, ni influencers. Se trata de los principales grupos de ransomware que operan a escala global para acceder a las redes corporativas, robar y cifrar datos confidenciales y pedir un rescate (o no) por ellos.
Según los datos de Cisco Talos, la división de ciber-inteligencia de Cisco, el ransomware fue la principal ciber-amenaza en 2023, representando el 28% de las interacciones en el último trimestre y afectando a todo tipo de empresas y sectores como educación, sanidad e industria.
Tras analizar exhaustivamente 14 grupos de ransomware destacados entre 2023 y 2024, Cisco Talos ha identificado diversos puntos en común en sus tácticas, técnicas y procedimientos, junto con algunas diferencias notables.
Acceso y evasión
Según la investigación, los actores de ransomware más prolíficos buscan un acceso inicial a redes específicas y después evadir las defensas, siendo las cuentas válidas el mecanismo de acceso más común. El phishing para obtener credenciales a menudo precede a estos ataques, una tendencia observada en casi todos los compromisos de respuesta frente a incidentes de Cisco Talos durante el pasado año.
Cada vez con mayor frecuencia, estos grupos explotan también vulnerabilidades conocidas y de día cero en aplicaciones públicas, siendo el segundo vector de acceso inicial predominante. AlphV/Blackcat y Rhysida son los que usan tácticas más diversas, mientras BlackBasta y LockBit no sólo cifraron datos, sino que ‘desfiguraron’ también los sistemas de las empresas víctima para maximizar su impacto.
Por su parte, el grupo de ransomware Clop se centró principalmente en la extorsión mediante el robo de datos en lugar de las típicas tácticas de cifrado, y es uno de los actores que más aprovecha las vulnerabilidades de día cero.
Cadena de ataques
Los adversarios suelen enviar correos electrónicos que contienen archivos adjuntos maliciosos o enlaces URL que ejecutan código malicioso en el sistema de destino, implementando las herramientas y el malware de los actores y explotando la autenticación multifactor (MFA) aprovechando una implementación deficiente o porque ya tienen credenciales de cuenta válidas.
Una vez logrado el acceso, todos ellos pretenden aumentar el tiempo de permanencia en las redes, siendo la desactivación y modificación del software de seguridad -como programas antivirus y soluciones de detección de terminales- , la ejecución automática del inicio de sistema o la modificación de las entradas del registro los métodos más comunes para evitar la detección de la carga útil del ransomware.
También pueden implementar herramientas de software de acceso remoto y crear cuentas locales, de dominio y/o en la nube para establecer un acceso con credenciales secundarias. Tras establecer este acceso persistente, elevan privilegios al nivel de administrador para avanzar más en la cadena de ataque y comprometer hosts adicionales.
Recomendaciones de mitigación
- Gestión periódica de parches: instalar constantemente parches y actualizaciones a todos los sistemas y software para reducir el riesgo de explotación.
- Política de contraseñas estricta y MFA: implementar políticas que requieran contraseñas complejas y únicas para cada cuenta, además de la autenticación multifactor.
- Refuerzo del sistema y del entorno: aplicar las mejores prácticas para reforzar todos los sistemas y entornos, minimizando las superficies de ataque al desactivar servicios y funciones innecesarios.
- Separación de red y autenticación de terminales: segmentar la red corporativa utilizando VLAN o tecnologías similares para aislar datos y sistemas confidenciales, evitando el movimiento lateral en caso de intrusión. Y utilizar mecanismos de control de acceso a la red como 802.1X para autenticar dispositivos antes de otorgarles acceso.
- Monitorización y detección: implementar un sistema de gestión de eventos e información de seguridad (SIEM) para monitorizar y analizar continuamente eventos de seguridad, además de la implementación de soluciones EDR/XDR en todos los clientes y servidores.