1. Maze (también conocido como ransomware ChaCha)
El ransomware Maze, visto por primera vez en 2019, ascendió rápidamente al primer lugar en su tipo de malware. De la cantidad total de víctimas, este ransomware es responsable de más de un tercio de los ataques. El grupo detrás de Maze fue uno de los primeros en robar datos antes de cifrarlos. Si la víctima se rehusaba a pagar el rescate, los cibercriminales amenazaban con publicar los archivos robados. La técnica demostró su efectividad y más tarde fue adoptada por muchas otras operaciones de ransomware, incluidas REvil y DoppelPaymer, de las que hablaremos más adelante.
Otra innovación es que los cibercriminales comenzaron a informar sus ataques a los medios. A finales de 2019, el grupo de Maze habló con Bleeping Computer sobre su pirateo a la empresa Allied Universal, a lo que adjuntó algunos archivos robados como evidencia. En sus conversaciones por correo electrónico con los editores del sitio web, el grupo amenazó con enviar spam desde los servidores de Allied Universal, y más tarde publicó los datos confidenciales pirateados de la empresa en el foro de Bleeping Computer.
2. Conti (también conocido como ransomware IOCP)
Conti apareció a finales de 2019, y estuvo muy activo durante 2020; fue responsable de más de 13% de todas las víctimas de ransomware durante este periodo. Sus creadores siguen activos.
Un detalle interesante sobre los ataques de Conti es que los cibercriminales ofrecen ayuda a la empresa objetivo con su seguridad a cambio de que se comprometa a pagar. Les dicen que les darán instrucciones para cerrar el agujero en la seguridad y para evitar problemas similares en el futuro; además, les recomendaran un software especial que es el que más problemas les da a los hackers.”
Como con Maze, el ransomware no solo cifra, sino también envía copias de los archivos desde los sistemas pirateados a los operadores del ransomware. Posteriormente, los cibercriminales amenazan con publicar la información en línea si la víctima no cumple con sus exigencias. Entre los ataques de Conti de más alto perfil está el ataque a una escuela en los Estados Unidos., seguido de una demanda de rescate de $40 millones de dólares. (La administración dijo haber estado lista para pagar $500,000 dólares, pero que no iban a negociar una suma de 80 veces esa cantidad.)
3. REvil (también conocido como ransomware Sodin, Sodinokibi)
Los primeros ataques con el ransomware REvil se detectaron en Asia en 2019. El malware rápidamente llamó la atención de los expertos debido a sus habilidades técnicas, como su uso de funciones legítimas de CPU para evadir los sistemas de seguridad. Además, su código incluía señales características de haber sido creado para alquiler.
En las estadísticas totales, las víctimas de REvil suman un 11%. El malware afectó a casi 20 sectores empresariales. La porción más grande de víctimas está en los sectores de ingeniería y fabricación (30%), seguidos de finanzas (14%), servicios profesionales y de consumo (9%), legal (7%) y TI y telecomunicaciones (7%). En esta última categoría se encuentra uno de los ataques de ransomware de más alto perfil de 2019, cuando los cibercriminales piratearon a varios proveedores de servicios gestionados (MSP) y distribuyeron Sodinokibi entre sus clientes.
El grupo actualmente ostenta el récord de la demanda de rescate más grande hasta ahora: de $50 millones de dólares a Acer en marzo de 2021.
4. Netwalker (también conocido como ransomware Mailto)
De la cantidad total de víctimas, Netwalker es responsable de más de 10%. Entre sus objetivos están gigantes de la logística, grupos industriales, corporaciones energéticas y otras organización grandes. En solo unos cuantos meses en 2020, los cibercriminales se hicieron de más de $25 millones de dólares.
Sus creadores parecen estar determinados a llevar el ransomware a las masas. Ofrecieron alquilar Netwalker a estafadores solitarios a cambio de una porción de la ganancia por el ataque. De acuerdo con Bleeping Computer, la ganancia del distribuidor del malware podría llegar a 70% del rescate, aunque en estas estratagemas normalmente se les paga a los socios mucho menos.
Como evidencia de su intención, los cibercriminales publican capturas de pantalla de grandes transferencias de dinero. Para que el proceso de alquiler sea lo más cómodo posible, arman un sitio web para publicar de manera automática los datos robados después de la fecha límite para el rescate.
5. Ransomware DoppelPaymer
El último villano de nuestra redada es DoppelPaymer, un ransomware cuyas víctimas conforman el 9% en las estadísticas totales. Sus creadores también dejaron huella con otro malware, incluido el troyano bancario Dridex y el ransomware ahora extinto BitPaymer (es decir, FriedEx), que se considera una versión previa de DoppelPaymer. De manera que la cantidad total de víctimas de este grupo es mucho más grande.
Las organizaciones comerciales atacadas por DopplerPaymer incluyen fabricantes de electrónicos y automóviles, así como a una gran empresa petrolea latinoamericana. Con frecuencia, DoppelPaymer dirige sus ataques a organizaciones gubernamentales en todo el mundo, incluidos servicios de salud, emergencia y educación. El grupo también llegó a los titulares después de publicar información de los votantes robada del Condado de Hall, en Georgia, y recibir $500,000 dólares del Condado de Delaware, Pennsylvania, ambos en los Estados Unidos. Los ataques de DoppelPaymer continúan hasta ahora: en febrero de este año, un organismo de investigación europeo anunció que habían sido hackeados.
