Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2023 S2 Grupo
Actualidad

Grupos de ransomware: cuáles son los más destacados en 2023

10 Oct 2023

Un vistazo al panorama actual de los grupos de ransomware revela que este es un momento de grandes transformaciones. Al declive de algunos de los grandes grupos de ransomware como Conti ransomware  o REvil ransomware ha seguido la aparición de bandas más pequeñas. Pero esto no es todo: existen nuevos modos de operar que también están transformando el panorama actual del ransomware.

En cualquier caso, todas las encuestas apuntan a que los diferentes grupos de ransomware están más activos que nunca. Como ejemplo, el estudio de Zscaler ThreatLabz, que destaca el crecimiento de un 80% en los ataques de ransomware entre el año 2021 y el 2022.

¿Cuáles son los principales grupos de ransomware hoy y las tendencias que están dando forma al panorama actual en esta especialización del cibercrimen? Te contamos todo lo que necesitas saber.

Tendencias en los grupos de ransomware en 2023

  • Desaparición de algunos de los grandes grupos que dominaban el panorama hasta ahora, en particular desde el desmantelamiento de REvil y el cese de actividad de Conti.

  • Sustitución por grupos más pequeños y, por tanto, más flexibles y menos llamativos para las fuerzas de seguridad. Se habla así de una especie de “democratización del ransomware”, en el que algunos cibercriminales trabajan a través de varios grupos de ransomware.

  • Asentamiento del modelo de ransomware como servicio (RaaS).

  • Diversificación de tácticas, técnicas y procedimientos (TTP) y, conjuntamente, ampliación de los indicadores de compromiso (IOC) a rastrear.

  • Tensión y desequilibrios a partir de la invasión rusa de Ucrania en febrero de 2022, ya que muchos de los grupos se asientan en esos territorios o en sus órbitas.

Los grupos de ransomware más importantes

REvil ransomware

Disuelto en la actualidad y también conocido como Sodinokibi, REvil ransomware aparece por primera vez en 2019 y se convierte en uno de los grupos de ransomware más importantes hasta su desmantelamiento en 2022.

Su modo principal de actuación era a través de phishing o enlaces maliciosos, y se adscribía al modelo RaaS, teniendo origen en Rusia.

Puso el foco en sectores como la agricultura, la energía, servicios financieros, salud y manufactura, en países como Brasil, Chile, España, México o Estados Unidos, entre otros. Dos de sus principales ataques fueron el de la cadena de suministro Kaseya (con más de 1000 empresas afectadas en numerosos países y por el que pidieron $70 millones) y la multinacional tecnológica Acer.

En enero de 2022, 14 de sus miembros fueron detenidos pero para abril de ese mismo año se constató que su plataforma Tor de REvil estaba de nuevo en marcha.

Darkside ransomware

Darkside ransomware fue el grupo al frente de uno de los ataques de ransomware más destructivos, el ocurrido a la empresa de oleoductos estadounidenses Colonial Pipeline en 2021. 

El grupo, que sigue el modelo RaaS, hace su primera aparición en agosto de 2020, teniendo impacto en más de 15 países e industrias de todo tipo, aunque han asegurado no tener entre sus objetivos a hospitales, entidades educativas, organizaciones sin fines de lucro o sector público.

Conti ransomware

Uno de los grandes grupos de ransomware que quedó disuelto en 2022, aunque se baraja que el nuevo grupo Royal haya nacido vinculado a él.

Con el foco puesto en redes de conexión corporativas, su método de propagación son los troyanos y la propia red. A partir de ahí, Conti ransomware se ocupa de escanear la red para encontrar información sensible para después cifrarla. Se trata de un tipo de ataque de ransomware particularmente ruidoso pero, implementado a menudo en horas fuera de 

trabajo, de modo que no es detectado. 

Maze ransomware

El grupo Maze ransomware fue descubierto por primera vez en mayo de 2019. Se distribuye a través de enlaces maliciosos, archivos adjuntos, ataques de fuerza bruta o kits de exploits, lo que les permite desplegar su software y cifrar los archivos deseados. 

Este grupo de ransomware se ocupa de publicar en su propia página web el listado de sus víctimas y partes de la información robada, amenazando con que el alcance del ataque sea mayor si no cobran el rescate. Sigue, además, un modelo de RaaS y red de afiliados, y llegaron a aliarse con los grupos de ransomware LockBit y Ragnar Locker en 2020. Ese mismo año el grupo anunció su disolución, aunque se han descubierto ataques que siguen su modus operandi en las nuevas variedades de ransomware Egregor y Sekhmet.

 LockBit ransomware

Lockbit ransomware supone el grupo que más víctimas ha causado en 2022 y la primera mitad de 2023. Es más, el informe de Outpost24 asegura que, en 2022, LockBit fue responsable del 34% de todos los ataques registrados ese año.

La importancia de este grupo se intensificó a partir de la disolución de Conti y durante 2023 se han barajado varias escisiones, después de que se filtrara su constructor. Este movimiento ha implicado que ya se hayan detectado nuevas versiones personalizadas del programa empleado por LockBit ransomware.

DoppelPaymer ransomware

El malware de DoppelPaymer lo sitúa entre uno de los grupos de ransomware más nocivos en 2023. DoppelPaymer es el grupo detrás del ataque a la petrolera mexicana Pemex y algunos de sus presuntos miembros han sido detenidos en Alemania y Ucrania.

Los equipos infectados con este tipo de software ven cómo el nombre de sus archivos ahora incluye la extensión ".locked", además de aparecer notas de rescate, dando un margen de 7 días para responder y pagar el rescate. 

Cl0p

Cl0p supone una variante del ransomware CryptoMix, aparecido por primera vez en 2019 y cuyo impacto ha crecido en los últimos años, superando los 130 ataques en 2022. 

Entre sus víctimas se hallan empresas dedicadas al retail, transporte y logística, educación, manufactura, telecomunicaciones o finanzas, entre otros. Destacan los ataques en el sector salud de los Estados Unidos, o la petrolera Shell. Además, este grupo de ransomware se encarga de publicar los datos exfiltrados en su sitio web CLOP LEAKS.

BlackCat

El ransomware BlackCat se advierte por primera vez en 2021 y se considera como uno de los más sofisticados y difíciles de detectar por emplear un lenguaje y vías de ofuscación poco comunes. 

Este modelo de ransomware está siendo empleado por afiliados que en el pasado han tenido un enorme impacto, incluyendo algunos que desplegaron REvil o Conti, por lo que se espera que su importancia continúe creciendo.

S2 Grupo, tu aliado frente a los grupos de ransomware

Los grupos de ransomware que acabamos de describir cuentan en su haber con miles de ataques extremadamente destructivos para empresas, teniendo un fuerte impacto económico y en la reputación de las organizaciones.

Desde S2 Grupo trabajamos para poner freno a esta amenaza, ayudando a las organizaciones a saber qué hacer frente a un ataque de ransomware a través de nuestros equipos humanos y tecnológicos más punteros contra las ciberamenazas. Quizás más importante, nos centramos en trabajar la ciberresiliencia de las organizaciones de forma proactiva, de modo que se pongan barreras a los grupos de ransomware antes de que puedan perpetrar el ataque. 

Descarga nuestro informe Panorama del Ransomware 2023 para saber más o ponte en contacto con nosotros para descubrir las estrategias para proteger a tu organización.

Artículos relacionados
Ver todas →
Actualidad
Sextorsión: la exposición de la intimidad
Leer más →
Actualidad
Diez consejos para proteger nuestra identidad digital
Leer más →
Actualidad
¿Qué es la ciberresiliencia y por qué es importante para las empresas?
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día