La ciberdelincuencia es un fenómeno en constante evolución, y el ransomware es una de sus formas más peligrosas y perturbadoras. Un informe reciente de Kaspersky ha arrojado luz sobre cómo los grupos organizados de ciberdelincuentes y los delincuentes individuales están adaptando sus tácticas y herramientas para lanzar ataques cada vez más eficaces.
Si bien los grupos organizados cuentan con recursos y herramientas más sofisticadas, el informe destaca que incluso los ciberdelincuentes novatos pueden suponer una amenaza significativa gracias a la disponibilidad de variantes de ransomware filtradas en la darkweb y a los programas de afiliación. Esta situación plantea riesgos importantes tanto para las organizaciones como para los internautas.
El Auge de las Variantes Filtradas de Ransomware
Los grupos organizados de ransomware suelen tener acceso a una amplia gama de herramientas y modelos, incluyendo variantes de ransomware propias. Por el contrario, los delincuentes independientes a menudo recurren a la darkweb, a programas de afiliación o a variantes filtradas para lanzar sus ataques.
El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha identificado que los ataques de ransomware más recientes utilizan códigos fuente filtrados, lo que permite a los actores de amenazas buscar víctimas y propagar actividades maliciosas con rapidez. Un ejemplo de ello es el ataque a IxMetro, donde se utilizó una variante reciente identificada como SEXi, que apuntaba a las aplicaciones ESXi con diferentes variantes filtradas según la plataforma objetivo.
La Evolución de los Grupos de Ciberdelincuentes
Otro caso destacado es el del grupo Key, también conocido como keygroup777, que ha utilizado al menos ocho familias de ransomware diferentes desde su creación en abril de 2022. Si bien sus técnicas y mecanismos de persistencia han evolucionado con cada nueva variante, el informe de Kaspersky señala que sus operaciones no son muy profesionales, como muestra el hecho de que su canal principal de C2 sea un repositorio de GitHub, lo que facilita su seguimiento, y que la comunicación se mantenga a través de Telegram.
Por su parte, la variante Mallox, que apareció por primera vez en 2021 y comenzó su programa de afiliados en 2022, colabora exclusivamente con afiliados de habla rusa y con experiencia, y se dirige a empresas con ingresos superiores a 10 millones de dólares. Sus afiliados, rastreados a través de identificadores únicos, contribuyeron a importantes picos de actividad en 2023.
Conclusión
Aunque los grupos que utilizan variantes filtradas no muestren altos niveles de profesionalidad, su eficacia reside en el éxito de sus esquemas de afiliación o en la orientación a nichos específicos. Por ello, la publicación y filtración de variantes de ransomware plantean amenazas importantes tanto para las organizaciones como para los particulares.
Como ha señalado Jornt van der Wiel, analista senior de ciberseguridad en el GReAT de Kaspersky, «con ransomware comercial y programas de afiliación, incluso los ciberdelincuentes novatos pueden suponer una amenaza significativa«. Esta evolución del ransomware exige que tanto las empresas como los usuarios individuales mantengan una vigilancia constante y adopten medidas de seguridad robustas para protegerse de estos ataques en constante evolución.
