Los ciberdelincuentes de poca monta con acceso a herramientas de tipo ransomware como servicio (RaaS) como Dharma se convertirán en una amenaza más peligrosa en los próximos 12 meses a medida que las herramientas y técnicas impulsadas por la caza mayor las bandas se filtran a través del ecosistema subterráneo, según una investigación realizada por los investigadores de seguridad, los cazadores de amenazas y los respondedores rápidos de SophosLabs.
En el Informe de amenazas de Sophos 2021, el grupo de expertos de la empresa mirará el próximo año en seguridad cibernética, y dado el volumen de ataques de ransomware de alto perfil que se han producido en 2020, no debería sorprender saber que creen que esta es una tendencia. eso no va a desaparecer.
El informe establece que grupos como Ryuk y Ragnar Locker, y posiblemente Maze si, como se cree, no se ha cerrado realmente, simplemente evolucionado, que apuntan a grandes empresas con demandas de rescate multimillonarias y ataques de doble extorsión continuarían su trabajo, pero Los atacantes de nivel de entrada, tipo aprendiz, que tienen como objetivo grandes volúmenes de presas más pequeñas se convertirán en una amenaza real.
“El modelo de negocio de ransomware es dinámico y complejo. Durante 2020, Sophos vio una clara tendencia a que los adversarios se diferenciaran en términos de sus habilidades y objetivos. Sin embargo, también hemos visto familias de ransomware que comparten las mejores herramientas y forman ‘cárteles’ de colaboración con estilo propio ”, dijo Chester Wisniewski, científico investigador principal de Sophos.
“Algunos, como Maze, parecían hacer las maletas y emprender una vida de ocio, excepto que algunas de sus herramientas y técnicas han resurgido bajo la apariencia de un recién llegado, Egregor. El panorama de las amenazas cibernéticas aborrece el vacío. Si una amenaza desaparece, otra rápidamente ocupará su lugar. En muchos sentidos, es casi imposible predecir a dónde irá el ransomware a continuación, pero es probable que las tendencias de ataque discutidas en el informe de amenazas de Sophos de este año continúen en 2021 «.
Sophos dijo que puede ser útil para los defensores pensar en las pandillas de malware y ransomware «exitosas» como algo parecido a las nuevas empresas de software exitosas: escasas para empezar, pero eventualmente se ganan seguidores leales y venden o licencian sus herramientas. Se refiere a esto como crimeware-as-a-service (CaaS) y cree que está listo para ser una «nueva normalidad» en el ciberdelito el próximo año.
Uno de los ejemplos más notorios de malware CaaS podría considerarse Emotet, que existe principalmente para entregar otro malware a los sistemas de su objetivo y «parece estar centrado en una experiencia fluida para los posibles delincuentes».
Chester Wisniewski, Sophos
Dharma también encaja en este soporte. Descrito por Sophos como «ransomware con ruedas de entrenamiento» y dirigido a los ciberdelincuentes que están aprendiendo a usarlos, sus usuarios pagan una tarifa de suscripción para poner sus guantes en las cargas útiles y dividir los ingresos de los ataques con ellos. Dharma mantiene un «pequeño rescate fijo», señaló Sophos.
«A medida que los atacantes se diversifican en especialidades y subespecialidades, parece que el modelo de negocio en el que los delincuentes trabajan con contratistas independientes, autónomos y afiliados no parece que vaya a desaparecer pronto», dijeron los investigadores.
Algunos usuarios de malware básico, cargadores y botnets exigirán atención adicional en 2021, ya que algunos operadores no dudarán en vender el acceso a sistemas comprometidos a una operación de ransomware más grande y «profesional» como Ryuk. Aunque estas amenazas pueden denominarse ruido cotidiano de bajo nivel, Wisniewski dijo que cada vez está más claro que los defensores deben tomarlas en serio si las detectan.
“Cualquier infección puede provocar todas las infecciones. Muchos equipos de seguridad sentirán que una vez que se ha bloqueado o eliminado el malware y se ha limpiado la máquina comprometida, se ha evitado el incidente ”, dijo Wisniewski.
“Es posible que no se den cuenta de que el ataque probablemente fue contra más de una máquina y que el malware aparentemente común como Emotet y Buer Loader puede conducir a Ryuk, Netwalker y otros ataques avanzados, que es posible que TI no note hasta que se implemente el ransomware, posiblemente en el medio de la noche o el fin de semana. Subestimar las infecciones ‘menores’ podría resultar muy costoso «.
El informe completo de Sophos, que ya está disponible para su descarga, analiza una serie de tendencias que probablemente serán importantes en los próximos meses, incluyendo más detalles sobre algunos de los desafíos de seguridad que probablemente seguirán enfrentando los entornos de nube el próximo año a medida que continúen soportando la la mayor parte de los altos volúmenes de trabajadores remotos, así como el impacto más amplio de la pandemia Covid-19 en la seguridad, que no disminuirá en el corto plazo.