El ransomware es un importante vector de amenazas que les cuesta a las empresas, corporaciones y operadores de infraestructura miles de millones de dólares al año. Detrás de estas amenazas se encuentran bandas profesionales de ransomware que crean y distribuyen malware que hace posibles los ataques.
Algunos de estos grupos atacan a las víctimas directamente, mientras que otros ejecutan el popular modelo Ransomware-as-a-Service (RaaS) que permite a los afiliados extorsionar a organizaciones específicas.
Con la amenaza del ransomware en constante aumento, conocer al enemigo y cómo opera es la única forma de mantenerse a la vanguardia. Entonces, aquí hay una lista de los cinco grupos de ransomware más letales que interrumpen el panorama de la seguridad cibernética.
1. REvil
El grupo de ransomware REvil, también conocido como Sodinokibi, es un grupo con sede en Rusia ransomware como servicio (RaaS) operación que apareció por primera vez en abril de 2019. Se considera uno de los grupos de ransomware más despiadados con vínculos a la Agencia de Servicios Federales de Rusia (FSB).
El grupo atrajo rápidamente la atención de los profesionales de la ciberseguridad por su destreza técnica y la audacia de perseguir objetivos de alto perfil. 2021 fue el año más rentable para el grupo, ya que apuntó a múltiples empresas multinacionales e interrumpió varias industrias.
Principales Víctimas
En marzo de 2021, REvil atacó a la corporación de electrónica y hardware Acer y comprometió sus servidores. Los atacantes exigieron 50 millones de dólares por una clave de descifrado y amenazaron con aumentar el rescate a 100 millones de dólares si la empresa no cumplía con las demandas del grupo.
Un mes después, el grupo llevó a cabo otro ataque de alto perfil contra el proveedor de Apple, Quanta Computers. Intentó chantajear tanto a Quanta como a Apple, pero ninguna de las empresas pagó el rescate exigido de 50 millones de dólares.
El grupo de ransomware REvil continuó con su ola de piratería y apuntó a JBS Foods, Invenergy, Kaseya y varias otras empresas. JBS Foods se vio obligado a cerrar temporalmente sus operaciones y pagó un rescate estimado de $11 millones en Bitcoin para reanudar las operaciones.
los ataque kaseya atrajo cierta atención no deseada al grupo, ya que afectó directamente a más de 1500 empresas en todo el mundo. Tras cierta presión diplomática, las autoridades rusas arrestaron a varios miembros del grupo en enero de 2022 y confiscaron activos por valor de millones de dólares. Pero esta interrupción duró poco ya que el La banda de ransomware REvil ha vuelto a funcionar desde abril de 2022.
2. Conti
Conti es otra pandilla de ransomware infame que está en los titulares desde finales de 2018. utiliza el método de doble extorsión, lo que significa que el grupo retiene la clave de descifrado y amenaza con filtrar datos confidenciales si no se paga el rescate. Incluso ejecuta un sitio web de filtraciones, Conti News, para publicar los datos robados.
Lo que diferencia a Conti de otros grupos de ransomware es la falta de limitaciones éticas en sus objetivos. Llevó a cabo varios ataques en los sectores de la educación y la salud y exigió millones de dólares en rescate.
Principales Víctimas
El grupo de ransomware Conti tiene un largo historial de ataques a infraestructuras públicas críticas, como atención médica, energía, TI y agricultura. En diciembre de 2021, el grupo informó que comprometió al banco central de Indonesia y robó datos confidenciales por valor de 13,88 GB.
En febrero de 2022, Conti atacó a un operador de terminal internacional, SEA-invest. La empresa opera 24 puertos marítimos en Europa y África y se especializa en el manejo de graneles secos, frutas y alimentos, graneles líquidos (petróleo y gas) y contenedores. El ataque afectó a los 24 puertos y causó interrupciones significativas.
Conti también había comprometido las Escuelas Públicas del Condado de Broward en abril y exigió $40 millones en rescate. El grupo filtró documentos robados en su blog después de que el distrito se negara a pagar el rescate.
Más recientemente, el presidente costarricense tuvo que declarar una emergencia nacional luego de los ataques de Conti a varias agencias gubernamentales.
3. Lado oscuro
El grupo de ransomware DarkSide sigue el modelo RaaS y apunta a grandes empresas para extorsionar grandes cantidades de dinero. Lo hace accediendo a la red de una empresa, normalmente mediante phishing o fuerza bruta, y cifra todos los archivos de la red.
Hay varias teorías sobre los orígenes del grupo de ransomware DarkSide. Algunos analistas creen que tiene su sede en Europa del Este, en algún lugar de Ucrania o Rusia. Otros creen que el grupo tiene franquicias en varios países, incluidos Irán y Polonia.
Principales Víctimas
El grupo DarkSide hace grandes demandas de rescate, pero afirma tener un código de conducta. El grupo afirma que nunca se dirige a escuelas, hospitales, instituciones gubernamentales y cualquier infraestructura que afecte al público.
Sin embargo, en mayo de 2021, DarkSide llevó a cabo la Ataque al oleoducto colonial y exigió $ 5 millones en rescate. Fue el ciberataque más grande a la infraestructura petrolera en la historia de EE. UU. y perturbó el suministro de gasolina y combustible para aviones en 17 estados.
El incidente provocó conversaciones sobre la seguridad de la infraestructura crítica y cómo los gobiernos y las empresas deben ser más diligentes para protegerlos.
Después del ataque, el grupo DarkSide trató de limpiar su nombre culpando a los afiliados de terceros por el ataque. Sin embargo, según el poste de washington, el grupo decidió cerrar sus operaciones después de la creciente presión de los Estados Unidos.
4. DoppelPaymer
El ransomware DoppelPaymer es un sucesor del ransomware BitPaymer que apareció por primera vez en abril de 2019. Utiliza el método inusual de llamar a las víctimas y exigir un rescate en bitcoins.
DoppelPaymer afirma tener su sede en Corea del Norte y sigue el modelo de ransomware de doble extorsión. La actividad del grupo disminuyó semanas después del ataque al Oleoducto Colonial, pero los analistas creen que se renombró a sí mismo como el grupo Grief.
Principales Víctimas
DopplePaymer se dirige con frecuencia a compañías petroleras, fabricantes de automóviles e industrias críticas como la atención médica, la educación y los servicios de emergencia. Es el primer ransomware que causó la muerte de un paciente en Alemania después de que el personal del servicio de emergencia no pudiera comunicarse con el hospital.
El grupo llegó a los titulares cuando publicó información de los votantes del condado de Hall, Georgia. El año pasado, también comprometió los sistemas orientados al cliente de Kia Motors America y robó datos confidenciales. El grupo exigió 404 bitcoins como rescate, aproximadamente el equivalente a $20 millones en ese entonces.
5. BloqueoBit
LockBit ha sido últimamente una de las pandillas de ransomware más destacadas, gracias al declive de otros grupos. Desde su primera aparición en 2019, LockBit ha experimentado un crecimiento sin precedentes y ha evolucionado significativamente en sus tácticas.
LockBit comenzó inicialmente como una pandilla de bajo perfil, pero ganó popularidad con el lanzamiento de LockBit 2.0 a fines de 2021. El grupo sigue el modelo RaaS y emplea la táctica de doble extorsión para chantajear a las víctimas.
Principales Víctimas
LockBit es actualmente un grupo de ransomware impactante, que representa más del 40 por ciento de todos los ataques de ransomware en mayo de 2022. Ataca a organizaciones en los EE. UU., China, India y Europa.
A principios de este año, LockBit apuntó a Thales Group, una multinacional francesa de electrónica, y amenazó con filtrar datos confidenciales si la empresa no cumplía con las demandas de rescate del grupo.
También comprometió al Ministerio de Justicia francés y cifró sus archivos. El grupo ahora afirma haber violado la agencia tributaria italiana (L'Agenzia delle Entrate) y robaron 100 GB de datos.
Protección contra ataques de ransomware
El ransomware continúa siendo una próspera industria del mercado negro, que genera miles de millones de dólares en ingresos para estas notorias pandillas cada año. Dados los beneficios financieros y la creciente disponibilidad del modelo RaaS, las amenazas solo aumentarán.
Al igual que con cualquier malware, estar alerta y usar el software de seguridad adecuado son pasos en la dirección correcta para combatir el ransomware. Si aún no está listo para invertir en una herramienta de seguridad premium, puede usar las herramientas de protección contra ransomware integradas de Windows para mantener su PC segura.