Proofpoint alerta de la reaparición del ransomware como carga útil inicial

  • Seguridad

Avaddon, Buran, Darkgate, Philadelphia, Mr. Robot o Ranion han sido algunas de las familias de ransomware utilizadas en estos ataques lanzados por correo electrónico, siendo los sectores de educación, fabricación, transporte, entretenimiento, tecnología, salud y telecomunicaciones sus principales destinatarios.

El equipo de investigación de Proofpoint ha constatado un ligero aumento de los ataques de ransomware por correo electrónico en el último mes a nivel global. Lo novedoso de este repunte es que los ciberdelincuentes han empleado el software malicioso como carga útil o payload de primera fase, al contrario de lo que se hacía hasta hace un año, cuando se usaban primero downloaders y después estos lanzaban el ransomware como payload secundario o final. Estos ataques se han dirigido principalmente a los sectores de educación, fabricación, transporte, entretenimiento, tecnología, salud y telecomunicaciones.

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Según los investigadores, entre las familias de ransomware utilizadas en estos ataques destacan Avaddon, Buran, Darkgate, Philadelphia, Mr. Robot o Ranion, cada una de las cuales deja encriptados los archivos de la víctima hasta que se pague su rescate. A diario se producían entre uno y 350.000 mensajes por campaña, llegando incluso a más de un millón de mensajes, como así ha sido en el caso de Avaddon entre los días 4 y 10 de junio.

Siguiendo con el caso de Avaddon, cuya aparición es la más reciente de las familias de ransomware mencionadas, se optaba por seguir el modelo de ransomware como servicio (RaaS) mediante el cual los ciberdelincuentes pagan a otros por el uso del ransomware en lugar de crear ellos mismos el software malicioso y la infraestructura. Para llamar la atención, en los asuntos del correo electrónico se ponían frases del tipo "¿eres tú?", "¿lo conoces?" o "me gusta esta foto" y, una vez abierto el archivo adjunto, aparecía un mensaje en pantalla en el que se pedía a la víctima el pago de una cantidad en bitcoins para desencriptar los documentos, entre otras trabas.

El COVID-19 encabezaba como cebo los correos de las campañas maliciosas con el ransomware Mr. Robot, que avisaban de supuestos resultados de analíticas para detectar el virus en pacientes, mientras que, en el caso de Philadelphia, los correos simulaban proceder de fuentes institucionales que hablaban del cierre de empresas a causa de la pandemia.

Esta reaparición del ransomware como payload inicial se ha producido de forma inesperada tras un largo periodo de relativa calma. Según Proofpoint, este cambio en las tácticas de los ciberdelincuentes podría ser un indicador de la vuelta del ransomware con nuevos señuelos. Por el momento, el volumen de estos ataques es bajo, pero queda claro es que el panorama de las amenazas continúa transformándose a gran velocidad y quienes están en la defensa deben esperar lo inesperado.