Análisis de grupos emergentes de Ransomware 2024

Dimos inicio a un nuevo año y por tanto me aventure a analizar el panorama de lo que fueron los ataques de ransomware y compararlos con el año previo, para poder así entender un poco su variabilidad y otras tendencias que surgieron de estos datos.

Para comenzar debo iniciar mencionando que el 2024 estuvo marcado por el surgimiento de muchos grupos emergentes tras las diferentes operaciones policiales ocurridas en contra de los principales actores. Según diferentes análisis se cree que varios de estos nuevos grupos que salieron al mercado RaaS (Ransomware as a Service), provienen de ex miembros de otros más grandes y reconocidos.

Si comparamos el 2024 contra el 2023, hablamos de un crecimiento aproximado del 8% con la presencia y aparición de unos 40 nuevos actores de Ransomware. En este articulo me enfocare exclusivamente en estos grupos emergentes para que puedan tener una aproximación actual sobre estas amenazas, visualizando alguno de ellos, acompañándolo de informes ya existentes y sus sitios en TOR.

Algunos Grupos que surgieron en 2024:

Rabbit Hole Ransomware

Identificado en 2024, el grupo Rabbit Hole ha llamado la atención por sus ataques sofisticados y tácticas elusivas. Su enfoque incluye estrategias de ataque en múltiples capas, como campañas de phishing, explotación de vulnerabilidades de software y cifrado avanzado para bloquear los datos de las víctimas. A diferencia de otros grupos de ransomware, Rabbit Hole se distingue por su selección cuidadosa de objetivos y demandas de rescate personalizadas según la capacidad financiera de la víctima y el valor percibido de los datos cifrados.

Info: Emerging Threat: Rabbit Hole Ransomware Group Unveiled

URL Tor: http://qrvj2k2amdgwhcsz7cobvqarqiik4l6dcbofuxzl3pixmvaiigy5uayd%5B.%5Donion

Kairos Ransomware

Es un grupo de ransomware que se ha dirigido principalmente a organizaciones de tamaño medio, con un enfoque notable en el sector sanitario de EE. UU. Hasta la fecha, ha reclamado ataques contra 14 entidades, incluyendo clínicas médicas y firmas de contabilidad. Kairos emplea tácticas de doble extorsión, exfiltrando datos sensibles y amenazando con su publicación para presionar a las víctimas a pagar rescates. Además, ha mostrado interés en adquirir accesos iniciales a redes corporativas a través de brokers en foros cibercriminales de habla rusa, lo que sugiere una estrategia de ataque bien planificada y dirigida.

Info: An elephant in Kairos: data-leak site emerges for new extortion group – CYJAX

URL Tor: http://nerqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad%5B.%5Donion

Bashe (APT73)

Surgiendo a mediados de abril de 2024, Bashe, también conocido como APT73 o Eraleig, es un grupo de ransomware que utiliza tácticas similares a las de LockBit para atacar industrias críticas en países desarrollados.

La estructura de su DLS imita a la de LockBit, con secciones como «Contáctanos», «Cómo comprar Bitcoin», «Bug Bounty de Seguridad Web» y «Espejos». Bashe se enfoca estratégicamente en industrias donde la sensibilidad de los datos y la interrupción operativa generan un impacto mayor. En 2024 afectó aproximadamente unas 70 víctimas.

Info: Perfil de la Dark Web: Bashe (APT73) – SOCRadar® Cyber Intelligence Inc.

URL Tor: http://basheqtvzqwz4vp6ks5lm2ocq7i6tozqgf6vjcasj4ezmsy4bkpshhyd%5B.%5Donion

Embargo Ransomware

Con 16 víctimas, identificado por primera vez en junio de 2024, Embargo es un grupo de ransomware que ha desarrollado herramientas avanzadas para desactivar soluciones de seguridad en los sistemas de sus víctimas. Utiliza un cargador malicioso denominado MDeployer y una herramienta llamada MS4Killer, diseñada para desactivar productos de seguridad específicos. El ransomware de Embargo está escrito en Rust, lo que le permite dirigirse tanto a sistemas Windows como Linux.

Info: Embargo: un nuevo ransomware que despliega herramientas para desactivar soluciones de seguridad

URL Tor: http://embargobe3n5okxyzqphpmk3moinoap2snz5k6765mvtkk7hhi544jid%5B.%5Donion

KillSec Ransomware

Actor de ransomware y hactivista, que combina actividades de ciberactivismo con servicios cibercriminales. Además de sus operaciones tradicionales de disrupción y hacking, el grupo ofrece servicios como pruebas de penetración (pentesting), inteligencia de fuentes abiertas (OSINT), y un modelo de afiliación de Ransomware-as-a-Service (RaaS). Este actor tiene presencia desde 2023 con su canal de Telegram pero en 2024 empezó con el servicio de RaaS.

Info: Perfil de la web oscura: KillSec – SOCRadar® Cyber Intelligence Inc.

URL Tor: http://ks5424y3wpr5zlug5c7i6svvxweinhbdcqcfnptkfcutrncfazzgz5id%5B.%5Donion

Brain Cipher Ransomware

Identificado por primera vez en junio de 2024, Brain Cipher es un grupo de ransomware que ha adaptado variantes del malware LockBit 3.0 para llevar a cabo sus ataques. Este grupo ha dirigido sus operaciones contra diversas industrias, incluyendo sectores gubernamentales, educativos y de manufactura. Uno de sus ataques más notorios afectó al Centro Nacional de Datos de Indonesia, interrumpiendo servicios públicos esenciales como inmigración y emisión de pasaportes. Brain Cipher emplea técnicas avanzadas para desactivar soluciones de seguridad en los sistemas comprometidos, lo que dificulta su detección y remediación. Además, se ha observado que comparte similitudes en sus notas de rescate y en la infraestructura utilizada con otros grupos como SenSayQ y EstateRansomware, lo que sugiere posibles vínculos operativos entre ellos.

Info: Brain Cipher – Ransomware – Ciberprisma – alianza por la ciberseguridad

InterLock Ransomware

Identificado por primera vez en septiembre de 2024, InterLock es un grupo de ransomware que ha llevado a cabo ataques significativos contra diversas industrias, incluyendo salud, tecnología y manufactura. Este grupo emplea una cadena de infección multifacética que comienza con un troyano de acceso remoto (RAT) disfrazado de una actualización falsa de navegador, seguido de scripts de PowerShell, herramientas de robo de credenciales y registradores de teclas, antes de desplegar el ransomware en sí. InterLock ha demostrado una capacidad para moverse lateralmente dentro de las redes de las víctimas, utilizando protocolos como RDP y herramientas como AnyDesk y PuTTY. Además, se ha observado que exfiltran datos a través de servicios en la nube, utilizando herramientas como Azure Storage Explorer y AzCopy. Su tiempo de permanencia en los sistemas comprometidos puede extenderse hasta 17 días, lo que indica operaciones bien planificadas y ejecutadas.

Info: Desenvolviendo el emergente ataque de ransomware Interlock

URL TOR: http://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid%5B.%5Donion

Termite Ransomware

Identificado en 2024, Termite es un grupo de ransomware que cifra archivos en los sistemas comprometidos, añadiendo la extensión «.termite» a los mismos. Tras el cifrado, el malware deja una nota de rescate titulada «How To Restore Your Files.txt», que contiene información breve y proporciona una dirección de correo electrónico para contactar con los atacantes. Este grupo se dirige a diversas industrias, empleando técnicas para evadir la detección y asegurar la efectividad de sus ataques.

Info: Termite Ransomware

URL TOR: http://termiteuslbumdge2zmfmfcsrvmvsfe4gvyudc5j6cdnisnhtftvokid%5B.%5Donion

Estos fueron alguno de los grupos que han aparecido en 2024, cabe destacar que no necesariamente todos son nuevos, algunos son reversionados de antiguos actores. Por otro lado, no todos estos emergentes necesariamente están activos a la fecha, sino que su rango de operación pudo haber sido acotada.

Teniendo esta aclaración presente, comparto el listado surgido de comparar los actores que operaron en 2024 contra los del 2023.