Las variantes de 'ransomware' filtradas impulsan la actividad de ciberdelincuentes menos profesionales

Las variantes filtradas de 'ransomware' agilizan los ataques en ciberdelincuentes individuales y novatos a pesar de su falta de profesionalidad, una amenaza sobre la que advierten los expertos de Kaspersky por el riesgo que supone para la seguridad de empresas e internautas. El informe, 'Cómo las variantes de ransomware profesionales impulsan a los grupos de ciberdelincuentes', arroja luz sobre las herramientas y los métodos que utilizan los grupos organizados de 'ransomware' como los atacantes individuales. En líneas generales, los grupos organizados tienen a su disposición una gama amplia de herramientas y modelos y disponen de variantes de 'ransomware' propias, mientras que los delincuentes independientes suelen recurrir a la darkweb, a programas de afiliación o a variantes filtradas para lanzar sus ataques. En este marco, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha identificado que los ataques de 'ransomware' más recientes utilizan los códigos fuente filtrados, lo que permite a los actores de amenazas buscar víctimas y propagar actividades maliciosas con rapidez. En abril, el ataque a IxMetro con una variante de 'ransomware' reciente identificada, SEXi, permitió descubrir un grupo que tenía como objetivo las aplicaciones ESXi -un sistema operativo de máquinas virtuales- con la particularidad de que recurría a diferentes variantes filtradas (Babuk para Linux y Lockbit para Windows) según la plataforma objetivo. El grupo Key, también conocido como keygroup777, ha utilizado al menos ocho familias de 'ransomware' diferentes desde su creación en abril de 2022 y este tiempo sus técnicas y mecanismos de persistencia han evolucionado con cada nueva variante. El informe de Kaspersky destaca que sus operaciones no son muy profesionales, como muestra, por ejemplo, que el canal principal de C2 es un repositorio de GitHub, lo que facilita su seguimiento, y que la comunicación se mantiene a través de Telegram. Por su parte, la variante Mallox apareció por primera vez en 2021 y comenzó su programa de afiliados en 2022. Sus autores afirman haber comprado el código fuente, aunque su origen no está claro. Este grupo colabora exclusivamente con afiliados de habla rusa y que tengan experiencia, y se dirige a empresas con ingresos superiores a 10 millones de dólares. Sus afiliados, rastreados a través de identificadores únicos, contribuyeron a importantes picos de actividad en 2023. Como explican desde Kaspersky, aunque los grupos que utilizan variantes filtradas no muestren altos niveles de profesionalidad, su eficacia reside en el éxito de sus esquemas de afiliación o en la orientación a nichos específicos. Por ello, la publicación y filtración de variantes de 'ransomware' plantean amenazas importantes tanto para las organizaciones como para los particulares. "Con ransomware comercial y programas de afiliación, incluso los ciberdelincuentes novatos pueden suponer una amenaza significativa", ha apuntado Jornt van der Wiel, analista senior de ciberseguridad en el GReAT de Kaspersky, en una nota de prensa.