Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

Grupos de ransomware: cuáles son los más destacados en 2024

19 Apr 2024

Un vistazo al panorama actual de los grupos de ransomware revela que este es un momento de grandes transformaciones. Al declive de algunos de los grandes grupos de ransomware como Conti ransomware  o REvil ransomware ha seguido la aparición de bandas más pequeñas. Pero esto no es todo: existen nuevos modos de operar que también están transformando el panorama actual del ransomware.

En cualquier caso, todas las encuestas apuntan a que los diferentes grupos de ransomware están más activos que nunca. Como ejemplo, el estudio de Zscaler ThreatLabz, que destaca el crecimiento de un 80% en los ataques de ransomware entre el año 2021 y el 2022.

¿Cuáles son los principales grupos de ransomware hoy y las tendencias que están dando forma al panorama actual en esta especialización del cibercrimen? Te contamos todo lo que necesitas saber.

Tendencias en los grupos de ransomware en 2024

  • Desaparición de algunos de los grandes grupos que dominaban el panorama hasta ahora, en particular desde el cese de actividad de Conti.

  • Sustitución por grupos más pequeños y, por tanto, más flexibles y menos llamativos para las fuerzas de seguridad. Se habla así de una especie de “democratización del ransomware”, en el que algunos cibercriminales trabajan a través de varios grupos de ransomware.

  • Asentamiento del modelo de ransomware como servicio (RaaS).

  • Diversificación de tácticas, técnicas y procedimientos (TTP) y, conjuntamente, ampliación de los indicadores de compromiso (IOC) a rastrear.

  • Tensión y desequilibrios a partir de la invasión rusa de Ucrania en febrero de 2022, ya que muchos de los grupos se asientan en esos territorios o en sus órbitas.

informe actualizado Panorama de RaaS

Los grupos de ransomware más importantes de los últimos años

REvil ransomware

Disuelto en la actualidad y también conocido como Sodinokibi, REvil ransomware aparece por primera vez en 2019 y se convierte en uno de los grupos de ransomware más importantes hasta su desmantelamiento en 2022.

Su modo principal de actuación era a través de phishing o enlaces maliciosos, y se adscribía al modelo RaaS, teniendo origen en Rusia.

Puso el foco en sectores como la agricultura, la energía, servicios financieros, salud y manufactura, en países como Brasil, Chile, España, México o Estados Unidos, entre otros. Dos de sus principales ataques fueron el de la cadena de suministro Kaseya (con más de 1000 empresas afectadas en numerosos países y por el que pidieron $70 millones) y la multinacional tecnológica Acer.

En enero de 2022, 14 de sus miembros fueron detenidos pero para abril de ese mismo año se constató que su plataforma Tor de REvil estaba de nuevo en marcha.

Darkside ransomware

Darkside ransomware fue el grupo al frente de uno de los ataques de ransomware más destructivos, el ocurrido a la empresa de oleoductos estadounidenses Colonial Pipeline en 2021. 

El grupo, que sigue el modelo RaaS, hace su primera aparición en agosto de 2020, teniendo impacto en más de 15 países e industrias de todo tipo, aunque han asegurado no tener entre sus objetivos a hospitales, entidades educativas, organizaciones sin fines de lucro o sector público.

Conti ransomware

Uno de los grandes grupos de ransomware que quedó disuelto en 2022, aunque se baraja que el nuevo grupo Royal haya nacido vinculado a él. 

Su último ataque a los organismos gubernamentales de Costa Rica fue un hecho sin precedentes. Con el foco puesto en redes de conexión corporativas, su método de propagación eran los troyanos y la propia red. A partir de ahí, Conti ransomware se ocupaba de escanear la red para encontrar información sensible para después cifrarla. Realizaban un ataque de ransomware particularmente ruidoso pero, implementado a menudo en horas fuera de trabajo, de modo que no era detectado. 

Maze ransomware

El grupo Maze ransomware fue descubierto por primera vez en mayo de 2019. Se distribuye a través de enlaces maliciosos, archivos adjuntos, ataques de fuerza bruta o kits de exploits, lo que les permite desplegar su software y cifrar los archivos deseados. 

Este grupo de ransomware se ocupa de publicar en su propia página web el listado de sus víctimas y partes de la información robada, amenazando con que el alcance del ataque sea mayor si no cobran el rescate. Sigue, además, un modelo de RaaS y red de afiliados, y llegaron a aliarse con los grupos de ransomware LockBit y Ragnar Locker en 2020. Ese mismo año el grupo anunció su disolución, aunque se han descubierto ataques que siguen su modus operandi en las nuevas variedades de ransomware Egregor y Sekhmet.

LockBit ransomware

Características del grupo de Ransomware Lockbit

Lockbit ransomware supone el grupo que más víctimas ha causado en 2023. Y pese a su intervención en febrero de este año, ya se encuentra de vuelta al ataque manteniendo la tendencia de mayor cantidad de víctimas en el primer trimestre de 2024.  Es más, el informe de Outpost24 asegura que, en 2022, LockBit fue responsable del 34% de todos los ataques registrados ese año.

La importancia de este grupo se intensificó a partir de la disolución de Conti y durante 2023 se han barajado varias escisiones, después de que se filtrara su constructor. Este movimiento ha implicado que ya se hayan detectado nuevas versiones personalizadas del programa empleado por LockBit ransomware.

DoppelPaymer ransomware

El malware de DoppelPaymer lo sitúa entre uno de los grupos de ransomware más nocivos en 2023. DoppelPaymer es el grupo detrás del ataque a la petrolera mexicana Pemex y algunos de sus presuntos miembros han sido detenidos en Alemania y Ucrania.

Los equipos infectados con este tipo de software ven cómo el nombre de sus archivos ahora incluye la extensión ".locked", además de aparecer notas de rescate, dando un margen de 7 días para responder y pagar el rescate. 

Cl0p

Cl0p supone una variante del ransomware CryptoMix, aparecido por primera vez en 2019 y cuyo impacto ha crecido en los últimos años, superando los 130 ataques en 2022. 

Entre sus víctimas se hallan empresas dedicadas al retail, transporte y logística, educación, manufactura, telecomunicaciones o finanzas, entre otros. Destacan los ataques en el sector salud de los Estados Unidos, o la petrolera Shell. Además, este grupo de ransomware se encarga de publicar los datos exfiltrados en su sitio web CLOP LEAKS.

BlackCat

El ransomware BlackCat fue advertido por primera vez en 2021 y era considerado como uno de los más sofisticados y difíciles de detectar por emplear un lenguaje y vías de ofuscación poco comunes hasta diciembre del año pasado cuando fue intervenido y desmantelado en una operación multinacional liderada por Estados Unidos.  

Este modelo de ransomware está siendo empleado por afiliados que en el pasado han tenido un enorme impacto, incluyendo algunos que desplegaron REvil o Conti, por lo que se espera que su importancia continúe creciendo.

Las nuevas apariciones: 

8Base

Desde su surgimiento en marzo de 2022, 8Base se ha destacado en el mundo del ransomware, atrayendo la atención de expertos en seguridad cibernética debido a su creciente actividad, especialmente en 2023. Lo que diferencia a este grupo es su uso de varias variantes de ransomware, con Phobos como la más prominente, lo que le otorga flexibilidad y versatilidad en sus ataques. Es uno de los ransomware que han provocado mayor número de víctimas en el primer trimestre del 2024. 

Akira

El ransomware Akira, descubierto a principios de 2023, se ha consolidado rápidamente como una amenaza importante en el panorama del cibercrimen. Dirigido principalmente a sistemas Windows y Linux, destaca por su uso de técnicas de cifrado simétrico avanzadas, empleando algoritmos como CryptGenRandom y Chacha 2008 para asegurar una encriptación eficiente de archivos. También se encuentra dentro del top 10 de grupos que más víctimas han cobrado en el T1 de 2024. 

Play 

El Ransomware Play fue detectado inicialmente en julio de 2022. Es un tipo de malware que minimiza las evidencias en el sistema para minimizar su detección, evitando por ejemplo la generación de comandos identificables por herramientas

como Sysmon.

Según un informe del FBI, la banda de Ransomware Play ha comprometido aproximadamente a 300 organizaciones a nivel mundial, entre junio de 2022 y octubre de 2023. Se encuentra junto a 8Base como dentro del top 5 de familias de Ransomware que han provocado víctimas en el primer trimestre del 2024.

Top 5 grupos de RaaS

S2 Grupo, tu aliado frente a los grupos de ransomware

Los grupos de ransomware que acabamos de describir cuentan en su haber con miles de ataques extremadamente destructivos para empresas, teniendo un fuerte impacto económico y en la reputación de las organizaciones.

Desde S2 Grupo trabajamos para poner freno a esta amenaza, ayudando a las organizaciones a saber qué hacer frente a un ataque de ransomware a través de nuestros equipos humanos y tecnológicos más punteros contra las ciberamenazas. Quizás más importante, nos centramos en trabajar la ciberresiliencia de las organizaciones de forma proactiva, de modo que se pongan barreras a los grupos de ransomware antes de que puedan perpetrar el ataque. 

Descarga nuestro informe Panorama del Ransomware para saber más o ponte en contacto con nosotros para descubrir las estrategias para proteger a tu organización.

Consultoría de protección ante un ataque de RaaS

Artículos relacionados
Ver todas →
Actualidad
La propiedad intelectual y su relación con la ciberseguridad
Leer más →
Actualidad
¿Qué es la ciberresiliencia y por qué es importante para las empresas?
Leer más →
Actualidad
Cinco ciberpeligros de usar el email de la empresa para registrarnos en Tinder
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día