Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. A diferencia de las campañas de rociar y rezar del pasado, los actores de amenazas apuntan cada vez más a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel dominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

Este informe se basa en datos de más de 230,000 envíos a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. Creado por el investigador de seguridad de Emsisoft Michael Gillespie, ID Ransomware es un sitio web que permite a las empresas y usuarios domésticos identificar qué cepa de ransomware tiene cifraron sus archivos cargando la nota de rescate, un archivo cifrado de muestra y / o la información de contacto del atacante. También dirige al usuario a una herramienta de descifrado, en caso de que haya una disponible.

Para obtener detalles sobre los ataques de ransomware contra los gobiernos de EE. UU., Las entidades educativas y de atención médica, consulte State of Ransomware en los EE. UU .: Informe de 2019 para Q1 a Q3.

¿Cuáles son las cepas de ransomware más comúnmente reportadas?

1. STOP (DJVU): 56%

ID Ransomware heatmap for STOP

La cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre fue STOP (a veces denominada DJVU), que representó el 56 por ciento de todas las presentaciones. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes.

STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios de torrents. Por lo general, está oculto en aplicaciones como grietas de software y generadores de claves, que son herramientas que permiten a los usuarios activar software de pago de forma gratuita.

Una vez ejecutado, STOP encripta archivos con encriptación AES-256 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio de un software de descifrado y una clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

2. Dharma (familia .cezar): 12%

El segundo ransomware más común enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados. Representaba el 12 por ciento de las presentaciones.

Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los actores de amenazas hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores de ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes.

Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contienen información importante del paciente, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

3. Phobos: 8.9%

Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de los envíos de ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019.

Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago.

Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta en un puerto exterior. El distrito escolar acordó pagar más de $ 38,000 en Bitcoin a los atacantes para recuperar los archivos cifrados. La mayoría de estos costos, así como los honorarios adicionales relacionados con la contratación de un abogado de ciberseguridad y los servicios de una compañía de recuperación de ransomware, fueron cubiertos por la aseguradora del distrito, pero el distrito aún era responsable de pagar un exceso de $ 10,000.

4. GlobeImposter 2.0: 6.5%

GlobeImposter 2.0 representó el 6.5 por ciento de los envíos de ID Ransomware durante el segundo y tercer trimestre de 2019. No debe confundirse con Globe ni con el GlobeImposter original, GlobeImposter 2.0 utiliza la criptografía AES-256 para cifrar los archivos de una víctima y exige un rescate que varía de uno a 10 Bitcoin .

En junio de 2019, Auburn Food Bank, una organización benéfica que brinda alimentos gratis a las personas en el Distrito Escolar de Auburn, se vio afectado por GlobeImposter 2.0. El ransomware cifró casi todas las computadoras del banco de alimentos, evitando que el personal acceda a sus archivos y correos electrónicos. En lugar de pagar el rescate no especificado, la directora Debbie Christian optó por borrar todos los sistemas afectados y reconstruir la red. Los costos de recuperación se estimaron en alrededor de $ 8,000.

5. REvil / Sodinokibi: 4.5%

Sodinokibi, a veces denominado Sodin o REvil, representó el 4.5 por ciento de las presentaciones. Visto por primera vez en abril de 2019, se cree que Sodinokibi fue creado por el mismo grupo detrás de la cepa de ransomware altamente rentable conocida como GandCrab.

Sodinokibi es un ransomware como servicio que se basa en afiliados para distribuir y comercializar el ransomware. Es extremadamente evasivo y utiliza técnicas avanzadas para evitar ser detectado por el software de seguridad. Los métodos de ataque incluyen la explotación de una vulnerabilidad en Oracle WebLogic, campañas de phishing y proveedores de servicios gestionados (MSP) comprometidos. La mayoría de los ataques iniciales de Sodinokibi se concentraron en Asia, pero los brotes más recientes se han dirigido a organizaciones europeas.

Sodinokibi ha estado involucrado en varios ataques de alto perfil, incluido un ataque masivo coordinado en varios gobiernos locales de Texas. En agosto de 2019, el Departamento de Recursos de Información (DIR) reveló que 22 entidades locales en Texas habían sido afectadas por Sodinokibi, que se implementó a través del software MSP. Se interrumpieron varios servicios importantes de la ciudad, como las operaciones de procesamiento de pagos y la impresión de documentos de identificación. El actor de la amenaza exigió un rescate de $ 2.5 millones a cambio de la herramienta de descifrado, una demanda que fue rechazada por todas las entidades afectadas. Algunas ciudades pudieron restaurar sus sistemas a partir de copias de seguridad, mientras que otras se vieron obligadas a reconstruir desde cero. El DIR desplegó expertos en ciberseguridad de varias agencias gubernamentales para ayudar con el proceso de recuperación.

Desarrollamos una solución imperfecta para Sodinokibi. No elimina por completo la necesidad de pagar el rescate, pero puede reducir significativamente la cantidad que las víctimas tienen que pagar. Utilizamos esta solución en un caso que involucra a un proveedor de servicios administrados y 1,200 puntos finales, y pudimos recuperar los sistemas afectados por aproximadamente un 90% menos que la demanda inicial de rescate.

Mención deshonrosa: Ryuk

A pesar de no ser una de las 10 cepas de ransomware más comúnmente enviadas, Ryuk merece una mención debido a lo disruptivo y rentable que fue durante Q2 y Q3. Visto por primera vez en agosto de 2018, Ryuk, que se cree que es operado por el grupo de ciberdelincuencia Grim Spider, se dirige principalmente a grandes organizaciones. Por lo general, se distribuye a través de campañas de correo electrónico no deseado, o en combinación con otros tipos de malware como Emotet y TrickBot.

Ryuk estuvo involucrado en una serie de casos de ransomware de alto perfil durante Q2 y Q3. En mayo, Ryuk infectó los sistemas informáticos de Riviera Beach, Florida, después de que un empleado del departamento de policía abrió un archivo adjunto de correo electrónico malicioso. La ciudad acordó pagar el rescate de casi $ 600,000 para recuperar el acceso a servicios de pago de servicios públicos y sistemas de correo electrónico y teléfono.

Unas semanas más tarde, Ryuk volvió a atacar, esta vez en Lake City, Florida. Los líderes de la ciudad finalmente acordaron pagar el rescate de $ 460,000.

Ryuk también afectó a Collierville, New Bedford y el Consejo Judicial de Georgia y la Oficina Administrativa de los Tribunales, entre muchos otros.

El descifrado puede ser posible en un pequeño número de casos. Nuestros investigadores han podido recuperar con éxito los datos cifrados por Ryuk en el 3-5 por ciento de los casos. Las organizaciones que han sido afectadas por Ryuk pueden verificar si su caso es descifrable enviando una muestra a Emsisoft o ID Ransomware.

10 cepas de ransomware más comúnmente reportadas

1. STOP (djvu): 56.00%

2. Dharma (.cezar family): 12.00%

3. Phobos: 8.90%

4. GlobeImposter 2.0: 6.50%

5. REvil / Sodinokibi: 4.50%

6. GandCrab v4.0 / v5.0: 3.60%

7. Magniber: 3.30%

8. Scarab: 2.00%

9. Rapid: 1.80%

10. Troldesh / Shade: 1.40%

¿Qué países son los más afectados por el ransomware?

El ransomware es una preocupación mundial y del segundo trimestre al tercer trimestre de 2019 no fue la excepción.

Las naciones asiáticas demostraron ser un objetivo popular. Indonesia, por ejemplo, representó el 17,1 por ciento de las presentaciones, mientras que India fue responsable del 15 por ciento de las presentaciones. Esto puede explicarse por la rápida expansión digital en Indonesia e India, que ha visto aumentar significativamente el número de usuarios conectados a Internet en estas áreas en los últimos años. El crecimiento digital repentino puede causar un retraso en la adopción de medidas efectivas de ciberseguridad y, en consecuencia, dejar a los usuarios más vulnerables al ransomware. Además, Indonesia tiene una de las tasas más altas de piratería de software en el mundo, lo que puede aumentar aún más el riesgo de infección por ransomware.

Las naciones occidentales también son objetivos comunes. Estados Unidos, que sufrió cientos de ataques de ransomware contra agencias del gobierno local, escuelas y entidades públicas durante el segundo y tercer trimestre de 2019, representó el 13.6 por ciento de las presentaciones. Mientras tanto, Alemania, Francia, Italia y España representaron casi 1 de cada 5 presentaciones. Ciertos tipos de ransomware, como Sodinokibi, que se aprovechan como ataques de ransomware como servicio, a menudo se usan para exigir grandes sumas de rescate, a veces por una suma de cientos de miles de dólares. Estos ataques generalmente apuntan a grandes empresas en Occidente, presumiblemente porque se percibe que son ricos y capaces de pagar el rescate.

Los 10 principales envíos de ransomware por país

1. Indonesia: 17.10%

2. India: 15.00%

3. USA: 13.60%

4. Brazil: 13.20%

5. Korea: 12.60%

6. Egypt: 8.80%

7. Germany: 5.90%

8. France: 4.90%

9. Italy: 4.50%

10. Spain: 4.40%

Resumen

A medida que los ataques de ransomware continúan volviéndose más sofisticados, las organizaciones deben adoptar un enfoque proactivo para la ciberseguridad. Las empresas de todos los tamaños deben revisar su estrategia de seguridad existente y asegurarse de que sus políticas y tecnologías de seguridad estén en línea con las mejores prácticas actuales.

Además de las medidas preventivas, las organizaciones también deben tener un plan de contingencia en caso de que ocurra una infección. Las empresas deben implementar un plan de recuperación ante desastres, que incluya un sistema de respaldo confiable y probado regularmente. Un sólido plan de recuperación permite a las organizaciones recuperar sus sistemas sin pagar un rescate y les permite reanudar las operaciones normales lo más rápido posible después de un ataque de ransomware.

Organizaciones como Emsisoft, ID Ransomware y muchas otras están trabajando con las agencias policiales y grupos anti-ransomware como No More Ransom para ayudar a las víctimas del ransomware a recuperar sus archivos sin pagar a los cibercriminales.

#antiransomware #Ransomware #STOPDJVU #Dharma #Phobos #GlobeImposter20 #Revil #Ryuk