Durante el segundo trimestre de 2022 se ha generado una gran actividad por parte de los grupos de ransomware, la compañía KELA ha observado que estos últimos se valen de los ciberdelincuentes conocidos como IAB, los agentes de acceso inicial.
Los grupos de ransomware siguen evolucionando y amenazando a organizaciones y empresas de todo el mundo. Mientras que algunas bandas redujeron su actividad en el segundo trimestre de 2022 o cerraron, surgieron nuevos actores como Black Basta, que siguieron extorsionando a las empresas.
Los operadores de ransomware y de sitios de fuga de datos utilizan constantemente el creciente ecosistema de la ciberdelincuencia para facilitar las fases de reconocimiento y compromiso inicial, apoyándose constantemente en otros ciberdelincuentes, incluidos los agentes de acceso inicial (IAB o Initial Access Brokers, por sus siglas en inglés). Estos actores, que venden acceso remoto a las redes corporativas, son una parte importante de la cadena de suministro del ransomware, por lo que la supervisión de los proveedores de acceso a la red permite comprender mejor el ecosistema del ransomware como servicio (RaaS).
En el segundo trimestre de 2022, KELA, compañía especializada en ciberinteligencia y cuyas soluciones se distribuyen en la Península Ibérica a través del value added distributor Ingecom, identificó alrededor de 650 víctimas en sus fuentes, que incluyen sitios de filtración de datos de atacantes de ransomware y actores similares, sus portales de negociación y los informes públicos. En comparación con el último trimestre, la actividad disminuyó ligeramente –en general un 7%– y siguió disminuyendo de mes en mes, mientras que la tendencia del primer trimestre mostró un aumento del número de víctimas de mes en mes. Este número de víctimas también es inferior al del mismo trimestre de 2021. En promedio, KELA observó 216 ataques cada mes del segundo trimestre de 2022, en comparación con las 232 víctimas del primer trimestre. Sin embargo, esto no nos debe hacer bajar la guardia, los ciberatacantes no han dejado de actuar.
KELA también ha dado a conocer que, durante el segundo trimestre del año en curso, unos 110 agentes se dedicaron a vender accesos a la red, hasta tal punto que cada uno de los tres principales agentes de acceso inicial puso a la venta más de 40 accesos. Durante este mismo período, KELA rastreó más de 550 listados de accesos a la red en venta, con un precio acumulado solicitado para todos los accesos de unos 660.000 dólares estadounidenses. Por otro lado, también se ha visto como el período de tiempo entre la venta del acceso a la red y la aparición de la víctima fruto del ransomware suele ser un proceso que dura alrededor de un mes en muchos casos.
Pero el papel de los IAB parece no quedarse ahí. Se está observando como muchos de ellos están dispuestos no solo a servir a la cadena de suministro del ransomware, sino también a participar en los ataques. En este sentido, se ha comprobado como un actor de este tipo ha sido capaz de evolucionar hasta convertirse en un operador de ransomware.
Fabricación y productos industriales en el punto de mira
El sector de la fabricación y los productos industriales fue el más atacado por los IAB, los ransomware y la futa de datos. Seguido de los servicios profesionales e ingeniería y construcción. En un segundo plano aparecen nuevos objetivos populares como la sanidad (hospitales, empresas farmacéuticas o clínicas dentales) y el sector público y gubernamental, aunque estos últimos son siempre controvertidos para los atacantes debido a temas morales, la baja probabilidad de recibir un rescate o el miedo a provocar una mayor persecución por parte de las fuerzas de seguridad.
Al margen del sector de ataque, KELA apunta que el tipo de acceso más común ofrecido por los actores de la amenaza fue RDP y VPN. Además, los Initial Access Brokers adaptaron rápidamente los exploits de las vulnerabilidades recién reveladas para atacar las redes sin parches. Por lo general, los IAB comprometen las redes corporativas a través de varios medios, siendo uno de ellos la explotación de vulnerabilidades de día cero y conocidas en el software utilizado por las víctimas potenciales. Si bien la prevención de la explotación del día cero es un proceso complicado, el peligro de los fallos de un día puede reducirse mediante el seguimiento de las actualizaciones de seguridad y la rápida aplicación de parches. Sin embargo, no todas las empresas consiguen hacerlo a tiempo, lo que crea una ventana de oportunidades para los IAB.
Los Initial Access Brokers a menudo comercializan con operadores de ransomware y actores de fugas de datos que, a su vez, pueden estar interesados no sólo en el acceso listo para comprar, sino también en las víctimas potenciales y los exploits en funcionamiento. Las víctimas potenciales incluyen una lista de empresas sensibles a una vulnerabilidad específica, listas que pueden obtenerse escaneando Internet mediante herramientas personalizadas o públicas. Los exploits de trabajo facilitan el ataque a los actores dispuestos a abusar de las vulnerabilidades conocidas. Tanto para los actores de ransomware como para otros IAB, los foros de ciberdelincuencia pueden suministrar estos productos.
