Madrid, 17 de julio de 2024. — AlphV/Blackcat, Rhysida, LockBit… No son estrellas del fútbol, ni cantantes, ni influencers. Se trata de los principales grupos de ransomware que operan a escala global para acceder a las redes corporativas, robar y cifrar datos confidenciales y pedir un rescate (o no) por ellos.
Según los datos de Cisco Talos, la división de ciber-inteligencia de Cisco, el ransomware fue la principal ciber-amenaza en 2023, representando el 28% de las interacciones en el último trimestre y afectando a todo tipo de empresas y sectores como educación, sanidad e industria.
Tras analizar exhaustivamente 14 grupos de ransomware destacados entre 2023 y 2024, Cisco Talos ha identificado diversos puntos en común en sus tácticas, técnicas y procedimientos, junto con algunas diferencias notables.
Acceso y evasión
Según la investigación, los actores de ransomware más prolíficos buscan un acceso inicial a redes específicas y después evadir las defensas, siendo las cuentas válidas el mecanismo de acceso más común. El phishing para obtener credenciales a menudo precede a estos ataques, una tendencia observada en casi todos los compromisos de respuesta frente a incidentes de Cisco Talos durante el pasado año.
Cada vez con mayor frecuencia, estos grupos explotan también vulnerabilidades conocidas y de día cero en aplicaciones públicas, siendo el segundo vector de acceso inicial predominante. AlphV/Blackcat y Rhysida son los que usan tácticas más diversas, mientras BlackBasta y LockBit no sólo cifraron datos, sino que ‘desfiguraron’ también los sistemas de las empresas víctima para maximizar su impacto.
Por su parte, el grupo de ransomware Clop se centró principalmente en la extorsión mediante el robo de datos en lugar de las típicas tácticas de cifrado, y es uno de los actores que más aprovecha las vulnerabilidades de día cero.
Cadena de ataques
Los adversarios suelen enviar correos electrónicos que contienen archivos adjuntos maliciosos o enlaces URL que ejecutan código malicioso en el sistema de destino, implementando las herramientas y el malware de los actores y explotando la autenticación multifactor (MFA) aprovechando una implementación deficiente o porque ya tienen credenciales de cuenta válidas.
Una vez logrado el acceso, todos ellos pretenden aumentar el tiempo de permanencia en las redes, siendo la desactivación y modificación del software de seguridad -como programas antivirus y soluciones de detección de terminales- , la ejecución automática del inicio de sistema o la modificación de las entradas del registro los métodos más comunes para evitar la detección de la carga útil del ransomware.
También pueden implementar herramientas de software de acceso remoto y crear cuentas locales, de dominio y/o en la nube para establecer un acceso con credenciales secundarias. Tras establecer este acceso persistente, elevan privilegios al nivel de administrador para avanzar más en la cadena de ataque y comprometer hosts adicionales.
Recomendaciones de mitigación
- Gestión periódica de parches: instalar constantemente parches y actualizaciones a todos los sistemas y software para reducir el riesgo de explotación.
- Política de contraseñas estricta y MFA: implementar políticas que requieran contraseñas complejas y únicas para cada cuenta, además de la autenticación multifactor.
- Refuerzo del sistema y del entorno: aplicar las mejores prácticas para reforzar todos los sistemas y entornos, minimizando las superficies de ataque al desactivar servicios y funciones innecesarios.
- Separación de red y autenticación de terminales: segmentar la red corporativa utilizando VLAN o tecnologías similares para aislar datos y sistemas confidenciales, evitando el movimiento lateral en caso de intrusión. Y utilizar mecanismos de control de acceso a la red como 802.1X para autenticar dispositivos antes de otorgarles acceso.
- Monitorización y detección: implementar un sistema de gestión de eventos e información de seguridad (SIEM) para monitorizar y analizar continuamente eventos de seguridad, además de la implementación de soluciones EDR/XDR en todos los clientes y servidores.
Descubre más en este blog.
Principales grupos de ransomware en función del número de organizaciones afectadas por sus ciber-ataques
Cadena de ataque típica de actores de ransomware: información de los 14 grupos principales
Acerca de Cisco
Cisco (NASDAQ: CSCO) es el líder tecnológico mundial que conecta todo de forma segura para que cualquier cosa sea posible. Nuestro propósito es impulsar un futuro inclusivo para todos ayudando a nuestros clientes a reinventar sus aplicaciones, potenciar el trabajo híbrido, proteger su empresa, transformar su infraestructura y alcanzar sus objetivos de sostenibilidad. Descubre más en news-blogs.cisco.com/emea/es / The Network y síguenos en X en @Cisco.
Cisco y el logotipo de Cisco son marcas comerciales o marcas registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Puede encontrarse un listado de las marcas comerciales de Cisco en www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier otra empresa.
Para obtener más información:
Ariadna Hernández, Directora de Comunicación
Juan Ortiz
Tel: 91 926 67 05
E-mail: juan.ortiz@teamlewis.com
Raquel López
Tel: 91 926 67 17
E-mail: raquel.lopez@teamlewis.com