La Oficina Federal de Investigaciones (FBI) de EE. UU. anunció el lunes la interrupción de la infraestructura en línea asociada con un grupo de ransomware incipiente llamado Dispossessor (también conocido como Radar).
La operación derribó tres servidores estadounidenses, tres servidores del Reino Unido, 18 servidores alemanes, ocho dominios criminales con sede en EE. UU. y un dominio criminal con sede en Alemania. Se cree que Dispossessor está dirigido por una o más personas conocidas con el apodo en línea “Brain”.
“Desde su creación en agosto de 2023, Radar/Dispossessor se ha convertido rápidamente en un grupo de ransomware con impacto internacional, apuntando y atacando a pequeñas y medianas empresas y organizaciones en los sectores de fabricación, desarrollo, educación, salud, servicios financieros y transporte”, dice el informe. dijo el FBI. dicho en un comunicado.
No menos de 43 empresas han sido identificadas como víctimas de ataques de desposeimiento, incluidas aquellas ubicadas en Argentina, Australia, Bélgica, Brasil, Canadá, Croacia, Alemania, Honduras, India, Perú, Polonia, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Dispossessor surgió por primera vez en agosto de 2023 como un grupo de ransomware como servicio (RaaS) que seguía el mismo modelo de doble extorsión del que fueron pioneros otras bandas de ciberdelincuentes. Estos ataques funcionan extrayendo los datos de las víctimas para pedir un rescate, además de cifrar sus sistemas. Los usuarios que se niegan a liquidar sus cuentas corren el riesgo de exponer sus datos.
Se ha observado que las cadenas de ataques montadas por actores de amenazas explotan sistemas con vulnerabilidades de seguridad o contraseñas débiles como punto de entrada para violar objetivos y obtener un alto acceso para bloquear sus datos detrás de barreras de cifrado.
“Una vez que la empresa fue atacada, si no contactaba al actor criminal, el grupo se comunicaría proactivamente con otros en la empresa víctima, ya sea por correo electrónico o por teléfono”, dijo el FBI.
“Los correos electrónicos también contenían enlaces a plataformas de vídeo donde aparecían los archivos previamente robados. El objetivo siempre fue aumentar la presión del chantaje y aumentar la disposición a pagar. »
Informes anteriores de la empresa de ciberseguridad SentinelOne encontrar The Dispossessor Group anuncia que los datos previamente filtrados están disponibles para su descarga y venta, y agrega que “parece estar volviendo a publicar datos previamente asociados con otras operaciones con ejemplos que van desde Cl0p, Hunters International y 8Base”.
La frecuencia de estas eliminaciones es otra indicación de que los organismos encargados de hacer cumplir la ley en todo el mundo están intensificando sus esfuerzos para combatir la amenaza persistente del ransomware, incluso cuando los actores de amenazas encuentran formas de innovar y prosperar en un panorama en constante cambio.
Esto incluye un aumento de ataques realizado por contratistas y proveedores de servicios, destacando cómo los actores de amenazas están armando relaciones de confianza para su ventaja, porque “este enfoque facilita ataques a gran escala con menos esfuerzo, y a menudo pasan desapercibidos hasta que se descubren fugas de datos o datos cifrados”.
Los datos recopilados por la Unidad 42 de Palo Alto Networks de los sitios de fugas muestran que las industrias más afectadas por el ransomware en la primera mitad de 2024 fueron la manufactura (16,4%), la atención médica (9,6%) y la construcción (9,4%).
Algunos de los países más afectados durante este período fueron Estados Unidos, Canadá, Reino Unido, Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
“Las vulnerabilidades reveladas recientemente han impulsado principalmente la actividad de ransomware, y los atacantes se han movido para explotar rápidamente estas oportunidades”, dijo la compañía. dicho“Los actores de amenazas habitualmente atacan las vulnerabilidades para obtener acceso a las redes de las víctimas, elevar sus privilegios y moverse lateralmente dentro de entornos pirateados. »
Una tendencia notable es el surgimiento de grupos de ransomware nuevos (o renovados), que representan 21 de los 68 grupos únicos que publican intentos de extorsión, y el aumento de los ataques a organizaciones más pequeñas, según Rapid7.
“Esto podría deberse a muchas razones, incluido el hecho de que estas organizaciones más pequeñas contienen muchos de los mismos datos que buscan los actores de amenazas, pero a menudo cuentan con precauciones de seguridad menos maduras”, agregó. dicho.
Otro aspecto importante es el profesionalización de los modelos económicos RaaSLos grupos de ransomware no sólo son más sofisticados, sino que también están ampliando cada vez más operaciones que se asemejan a las de empresas legítimas.
“Tienen sus propios mercados, venden sus propios productos y, en algunos casos, ofrecen soporte las 24 horas del día, los 7 días de la semana”, señala Rapid7. “También parecen estar creando un ecosistema de colaboración y consolidación en los tipos de ransomware que implementan. »