Introducción
El panorama del ransomware es un ecosistema complejo, saturado y en rápida evolución. Continuamente aparecen y desaparecen grupos nuevos y renombrados, mientras que los operadores que están detrás de ellos comparten, alquilan, roban o copian las herramientas de ataque, los libros de jugadas e incluso la infraestructura de los demás.
Sophos lleva años monitorizando e informando sobre el panorama del ransomware, construyendo una biblioteca inigualable de conocimientos y análisis. El Centro de Inteligencia de Amenazas de Ransomware reúne una lista seleccionada de los artículos de investigación e informes más importantes publicados por Sophos sobre las amenazas de ransomware prevalentes, nuevas y emergentes, incluyendo sus herramientas, técnicas y comportamientos, desde 2018 hasta el presente. El contenido se actualizará regularmente a medida que se disponga de nuevo material.
Para obtener más información sobre el ransomware, incluyendo consejos sobre las mejores prácticas de seguridad y el último informe sobre El estado del ransomware, visita los recursos de Sophos para detener el ransomware.
Investigaciones e informes de Sophos sobre grupos de ransomware prevalentes y nuevos, 2018 a 2022
Astro Locker
Sophos MTR in real time: What is Astro Locker team?
31 de marzo de 2021 – Una investigación de respuesta a incidentes de Sophos descubre similitudes entre el ransomware Astro Locker y Mount Locker.
Avos Locker
Avos Locker accede de forma remota a los endpoints, incluso ejecutándose en modo seguro
28 de diciembre de 2021 – Sophos informa de cómo el relativamente nuevo ransomware como servicio (RaaS), Avos Locker arranca los ordenadores de destino en modo seguro para ejecutar el ransomware e intenta desactivar el software de seguridad.
Atom Silo
Atom Silo ransomware actors use Confluence exploit, DLL side-load for stealthy attack
4 de octubre de 2021 – Sophos informa sobre un ataque del grupo de ransomware relativamente nuevo Atom Silo que aprovechó una vulnerabilidad reciente en el software de colaboración Confluence de Atlassian e intentó interrumpir el software de protección de andpoints. La vulnerabilidad de Confluence también fue explotada por un minero de criptomonedas.
Avaddon
What to expect when you’ve been hit with Avaddon ransomware
24 de mayo de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware en particular.
Black Kingdom
Black Kingdom ransomware begins appearing on Exchange servers
23 de marzo de 2021 – Sophos informa de un nuevo ransomware, aunque bastante básico, que se dirige a los servidores de Microsoft Exchange que no han sido parcheados contra el exploit ProxyLogon.
BlackMatter
BlackMatter ransomware emerges from the shadow of DarkSide
9 de agosto de 2021 – Sophos informa sobre un nuevo RaaS que se autodenomina BlackMatter y adopta herramientas y técnicas de REvil, DarkSide y LockBit 2.0.
Conti
Sophos ha informado ampliamente sobre la prolífica operación de Conti RaaS. Nuestros investigadores continuarán siguiendo la evolución de esta amenaza de alto perfil tras los acontecimientos de principios de marzo de 2022, cuando la postura de Conti en la guerra entre Rusia y Ucrania llevó a una serie de filtraciones públicas de su libro de jugadas de ataque, conjunto de herramientas, comunicaciones internas, código fuente y más.
El análisis de Sophos sobre el ransomware Conti incluye:
What to expect when you’ve been hit with Conti ransomware
16 de febrero de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware concreta.
Conti ransomware: Evasive by nature
16 de febrero de 2021 – Sophos informa de cómo los atacantes que propagan el Conti han cambiado de marcha a un método de ataque completamente sin archivos.
A Conti ransomware attack day-by-day
16 de febrero de 2021 – Sophos informa sobre el desarrollo de un incidente de ransomware Conti.
Los afiliados de Conti utilizan el exploit ProxyShell Exchange en ataques de ransomware
8 de septiembre de 2021 – Sophos informa sobre la investigación de un ataque de ransomware de Conti en el que los atacantes utilizaron un exploit ProxyShell.
7 de marzo de 2022 – Sophos informa sobre un raro ataque de ransomware doble, en el que los operadores de ransomware Karma y Conti estaban en la red de un operador sanitario al mismo tiempo.
Cring
Cring ransomware se aprovecha del antiguo servidor ColdFusion
30 de septiembre de 2021 – Sophos informa sobre un actor de amenazas desconocido que explota una vulnerabilidad en una instalación de 11 años de antigüedad de Adobe ColdFusion 9 y despliega el poco habitual ransomware Cring.
DearCry
DearCry ransomware attacks exploit Exchange server vulnerabilities
15 de marzo de 2021 – Sophos informa sobre un ransomware poco sofisticado y “para principiantes” llamado DearCry, que imita al famoso ransomware WannaCry.
Dharma
Color by numbers: inside a Dharma ransomware-as-a-service attack
12 de agosto de 2020 – Sophos informa sobre el Dharma RaaS que se dirige a las empresas más pequeñas y proporciona a los afiliados scripts de ataque detallados, paso a paso.
DarkSide
La visión de un defensor en un ataque de ransomware DarkSide
11 de mayo de 2021 – Una inmersión de Sophos en los métodos de ataque del grupo de ransomware DarkSide.
Egregor
Egregor: el supuesto heredero del ransomware Maze
11 de diciembre de 2020 – Sophos informa sobre una nueva variante RaaS del ransomware Sekhmet que parece haber continuado donde lo dejó Maze.
Entropy
Dridex bots deliver Entropy ransomware in recent attacks
23 de febrero de 2022 – Sophos informa de que el código utilizado en el ransomware Entropy se parece al código utilizado en el malware Dridex, lo que sugiere un posible origen común.
Epsilon Red
Un nuevo ransomware entra en juego: Epsilon Red
2 de junio de 2021 – Sophos informa de un nuevo ransomware que descarga la mayor parte de su funcionalidad en una serie de scripts de PowerShell.
GandCrab
GandCrab 101: All about the most widely distributed ransomware of the moment
5 de marzo de 2019 – Una inmersión profunda en un ransomware que dominó el panorama en 2019.
No permita que su servidor SQL le ataque con ransomware
27 de mayo de 2019 – Sophos informa sobre un adversario desconocido que ataca servidores de bases de datos de Windows orientados a Internet con el ransomware GandCrab.
Karma
7 de marzo de 2022 – Sophos informa sobre un raro ataque de ransomware doble, en el que los operadores de ransomware Karma y Conti estaban en la red de un operador sanitario al mismo tiempo.
LockBit
LockBit ransomware borrows tricks to keep up with REvil and Maze
24 de abril de 2020 – Sophos informa sobre cómo LockBit está implementando técnicas y comportamientos de otros grupos de ransomware de alto perfil.
LockBit uses automated attack tools to identify tasty targets
21 de octubre de 2021 – Sophos informa sobre cómo los operadores detrás del ransomware LockBit están utilizando copias renombradas de PowerShell y otras herramientas automatizadas para buscar sistemas con datos valiosos.
LockFile
Los trucos del ransomware LockFile: cifrado intermitente y evasión
1 de septiembre de 2021 – Sophos descubre una nueva familia de ransomware que aprovecha ProxyShell y utiliza el cifrado intermitente de archivos para evadir la detección de las herramientas antiransomware.
Matrix
Matrix: Targeted, small scale, canary in the coalmine ransomware
30 de enero de 2019 – Sophos informa sobre cómo el poco sofisticado ransomware Matrix tiene éxito aprovechando los escritorios remotos vulnerables para vulnerar las redes y alterar los objetivos.
Maze
Maze ransomware: extorting victims for 1 year and counting
12 de mayo de 2020 – Sophos informa de cómo los operadores del ransomware Maze fueron una de las primeras operaciones de ransomware que utilizaron el robo de datos como forma de coaccionar a las víctimas para que pagaran la petición de rescate.
Los ciberdelincuentes de Maze adoptan la técnica de máquina virtual de Ragnar Locker
18 de septiembre de 2020 – Sophos informa de cómo los operadores de Maze adoptaron una engorrosa técnica de entrega de ransomware de Ragnar Locker tras varios intentos fallidos de desplegar el ransomware.
Casos reales MTR: bloquea un ataque del ransomware Maze de 15 millones de dólares
6 de octubre de 2020 – Un relato día a día del desarrollo de un importante ataque de ransomware Maze.
MegaCortex
“MegaCortex” ransomware wants to be The One
3 de mayo de 2019 – Sophos informa sobre un nuevo y sofisticado grupo de ransomware que aprovecha tanto componentes automatizados como manuales.
MegaCortex, deconstructed: mysteries mount as analysis continues
10 de mayo de 2019 – Un artículo de seguimiento de la investigación que incluye nuevos conocimientos sobre las herramientas, las técnicas y las tácticas de despiste de este grupo de ransomware.
Memento
New ransomware actor uses password protected archives to bypass encryption protection
18 de noviembre de 2021 – Sophos informa sobre un incidente relacionado con el nuevo grupo de ransomware, Memento, que no pudo cifrar los archivos y los copió en archivos protegidos por contraseña.
Midas
Windows services lay the groundwork for a Midas ransomware attack
25 de enero de 2022 – Sophos informa sobre un ataque de ransomware que hizo un amplio uso de servicios de acceso remoto vulnerables y scripts de PowerShell.
Nefilim
Nefilim Ransomware Attack Uses “Ghost” Credentials
26 de enero de 2021 – Sophos informa de un incidente en el que los atacantes accedieron al objetivo utilizando las credenciales de la cuenta de un empleado fallecido.
Netwalker
Netwalker ransomware tools give insight into threat actor
27 de mayo de 2020 – Sophos detalla las tácticas, técnicas y procedimientos (TTP) utilizados por Netwalker tras descubrir un conjunto de malware y archivos relacionados.
ProLock
ProLock ransomware gives you the first 8 kilobytes of decryption for free
27 de julio de 2020 – Sophos informa sobre la cadena de ataque y las TTP de este nuevo ransomware.
Python
Python ransomware script targets ESXi server for encryption
5 de octubre de 2021 – Sophos informa de uno de los ataques de ransomware más rápidos que ha visto, en el que un script de Python en el hipervisor de la máquina virtual de destino cifró todos los discos virtuales.
RagnarLocker
El ransomware que ataca desde una máquina virtual
29 de mayo de 2020 – Sophos informa de un incidente en el que los atacantes desplegaron una máquina virtual completa en cada dispositivo objetivo para ocultar el ransomware de la vista.
Ragnarok
Asnarök attackers twice modified attack midstream
21 de mayo de 2021 – Sophos informa de cómo los atacantes de Asnarok intentan desplegar el ransomware Ragnarok a través de un firewall sin parches.
REvil
Relentless REvil, revealed: RaaS as variable as the criminals who use it
11 de junio de 2021 – Sophos detalla los diferentes TTPs vistos entre los clientes afiliados a REvil RaaS.
What to expect when you’ve been hit with REvil ransomware
30 de junio de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware en particular.
Independence Day: REvil uses supply chain exploit to attack hundreds of businesses
4 de julio de 2021 – Sophos detalla el ataque de criptoextorsión lanzado por un afiliado de REvil utilizando una actualización maliciosa para explotar el servicio de gestión remota VSA de Kaseya.
RobbinHood
Living off another land: Ransomware borrows vulnerable driver to remove security software
6 de febrero de 2020 – Sophos informa de ataques en los que los atacantes desplegaron un controlador de hardware legítimo y firmado digitalmente para eliminar productos de seguridad de los ordenadores objetivo antes de desplegar el ransomware RobbinHood.
Ryuk
They’re back: inside a new Ryuk ransomware attack
14 de octubre de 2020 – Sophos informa del regreso de Ryuk tras un periodo de tranquilidad, con herramientas evolucionadas para el compromiso y el despliegue del ransomware.
MTR in Real Time: Pirates pave way for Ryuk ransomware
6 de mayo de 2021 – Sophos informa sobre un incidente en el que la descarga de un programa de software pirata llevó a los atacantes a violar la red de un instituto de investigación y desplegar el ransomware Ryuk.
SamSam
Sophos releases SamSam ransomware report
31 de julio de 2018 – Sophos publica una inmersión profunda en el ransomware SamSam.
How a SamSam-like attack happens, and what you can do about it
29 de noviembre de 2018 – Sophos detalla un ataque típico de ransomware tipo SamSam y cómo defenderse de él.
Snatch
Snatch ransomware amenaza la seguridad mediante el reinicio furtivo en “modo seguro”
11 de diciembre de 2019 – Sophos informa sobre una novedosa amenaza híbrida de robo de datos y ransomware que desactiva las protecciones de seguridad reiniciando los equipos Windows en medio del ataque.
WannaCry
Sophos sigue la evolución de WannaCry de depredador a vacuna de alto riesgo
19 de septiembre de 2019 – Sophos informa de cómo, más de dos años después, las variantes modificadas de WannaCry siguen causando dolores de cabeza a los administradores de TI y a los analistas de seguridad.
WastedLocker
WastedLocker’s techniques point to a familiar heritage
4 de agosto de 2020 – Sophos informa de cómo WastedLocker evade la detección realizando la mayoría de las operaciones en memoria y comparte varias características con la familia de ransomware Bitpaymer.
Activos adicionales
Informes y análisis colectivos
El libro de jugadas del adversario activo 2021
Artículos de opinión y asesoramiento
Sophos muestra cómo atacan a sus víctimas las familias de ransomware más frecuentes y persistentes
La realidad del ransomware: por qué no es una moda pasajera
La realidad del ransomware: la extorsión se vuelve social en 2020
La realidad del ransomware: sus esfuerzos por evitar ser detectado
La realidad del ransomware: un ataque visto desde la perspectiva de la víctima
5 señales de que estás a punto de ser golpeado por ransomware
Ganadores y perdedores en la guerra del ransomware
Las 10 principales tácticas de presión para pagar el rescate de ransomware
Tropiezos del ransomware: los ciberdelincuentes también se equivocan
Dejar un comentario