Los operadores de ransomware utilizan cada vez más nuevas tácticas y estrategias para hacer que sus ataques sean más efectivos. Esto incluye nuevos métodos para ejercer más presión sobre las víctimas, como el uso de la técnica de la doble extorsión , así como nuevas tácticas comerciales como la formación de cárteles. Otro aspecto importante es la evolución de las estrategias técnicas y el uso de herramientas sofisticadas que les permitan realizar ataques sigilosos.
¿Lo que está sucediendo?
En una sesión reciente de la Masterclass del Foro de respuesta a incidentes de 2021, un panel de expertos en TI destacó varios rasgos relacionados con la evolución de los ataques de ransomware.
- Los expertos han identificado un aumento en los ataques de intrusión de ransomware al comprometer Active Directory. Los atacantes suelen pasar largos períodos de tiempo dentro del entorno y siguen buscando todos los sistemas conectados.
- Cuando Active Directory y los controladores de dominio se configuran en una máquina virtual, los atacantes tienden a cifrar todo el entorno de la máquina virtual, lo que ralentiza el análisis forense.
- Para copiar los archivos, los atacantes ahora se están alejando de los métodos tradicionales (FileZilla o Megaupload) y adoptan herramientas de código abierto, como Rclone, que deja huellas menores y es difícil de rastrear.
- En algunos casos, los atacantes han estado recopilando datos de múltiples fuentes, lo que dificulta la identificación de todas las fuentes de datos comprometidas por ellos.
Incidentes recientes usando estas tácticas
Se ha observado que varios atacantes utilizan las tácticas mencionadas anteriormente durante ataques recientes.
- El reciente ataque catastrófico a SolarWinds ha demostrado cómo los atacantes pueden utilizar Active Directory como método para apoderarse de toda la red de cualquier organización.
- Se observó el ransomware Conti utilizando la herramienta Rclone para la exfiltración de datos y la recopilación de credenciales
- También se ha observado que Egregor ransomware, que se supone que es el sucesor de Maze, incluye a Rclone y Cobalt Strike en sus campañas de ataque.
Conclusión
Los atacantes de ransomware están mejorando sus tácticas y afilando sus herramientas cada día que pasa. Sin embargo, esta evolución es preocupante para las víctimas objetivo, así como para las agencias de seguridad que están trabajando arduamente para hacer frente a tales ataques. Por lo tanto, se recomienda seguir actualizando las medidas de seguridad, teniendo en cuenta que tales ataques solo se volverán más feroces en el futuro cercano.