El Centro de Inteligencia de Amenazas de Ransomware

Introducción

El panorama del ransomware es un ecosistema complejo, saturado y en rápida evolución. Continuamente aparecen y desaparecen grupos nuevos y renombrados, mientras que los operadores que están detrás de ellos comparten, alquilan, roban o copian las herramientas de ataque, los libros de jugadas e incluso la infraestructura de los demás.

Sophos lleva años monitorizando e informando sobre el panorama del ransomware, construyendo una biblioteca inigualable de conocimientos y análisis. El Centro de Inteligencia de Amenazas de Ransomware reúne una lista seleccionada de los artículos de investigación e informes más importantes publicados por Sophos sobre las amenazas de ransomware prevalentes, nuevas y emergentes, incluyendo sus herramientas, técnicas y comportamientos, desde 2018 hasta el presente. El contenido se actualizará regularmente a medida que se disponga de nuevo material.

Para obtener más información sobre el ransomware, incluyendo consejos sobre las mejores prácticas de seguridad y el último informe sobre El estado del ransomware, visita los recursos de Sophos para detener el ransomware.

Investigaciones e informes de Sophos sobre grupos de ransomware prevalentes y nuevos, 2018 a 2022

Astro Locker

Sophos MTR in real time: What is Astro Locker team?

31 de marzo de 2021 – Una investigación de respuesta a incidentes de Sophos descubre similitudes entre el ransomware Astro Locker y Mount Locker.

Avos Locker

Avos Locker accede de forma remota a los endpoints, incluso ejecutándose en modo seguro

28 de diciembre de 2021 – Sophos informa de cómo el relativamente nuevo ransomware como servicio (RaaS), Avos Locker arranca los ordenadores de destino en modo seguro para ejecutar el ransomware e intenta desactivar el software de seguridad.

Atom Silo

Atom Silo ransomware actors use Confluence exploit, DLL side-load for stealthy attack

4 de octubre de 2021 – Sophos informa sobre un ataque del grupo de ransomware relativamente nuevo Atom Silo que aprovechó una vulnerabilidad reciente en el software de colaboración Confluence de Atlassian e intentó interrumpir el software de protección de andpoints. La vulnerabilidad de Confluence también fue explotada por un minero de criptomonedas.

Avaddon

What to expect when you’ve been hit with Avaddon ransomware

24 de mayo de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware en particular.

Black Kingdom

Black Kingdom ransomware begins appearing on Exchange servers

23 de marzo de 2021 – Sophos informa de un nuevo ransomware, aunque bastante básico, que se dirige a los servidores de Microsoft Exchange que no han sido parcheados contra el exploit ProxyLogon.

BlackMatter

BlackMatter ransomware emerges from the shadow of DarkSide

9 de agosto de 2021 – Sophos informa sobre un nuevo RaaS que se autodenomina BlackMatter y adopta herramientas y técnicas de REvil, DarkSide y LockBit 2.0.

Conti

Sophos ha informado ampliamente sobre la prolífica operación de Conti RaaS. Nuestros investigadores continuarán siguiendo la evolución de esta amenaza de alto perfil tras los acontecimientos de principios de marzo de 2022, cuando la postura de Conti en la guerra entre Rusia y Ucrania llevó a una serie de filtraciones públicas de su libro de jugadas de ataque, conjunto de herramientas, comunicaciones internas, código fuente y más.

El análisis de Sophos sobre el ransomware Conti incluye:

What to expect when you’ve been hit with Conti ransomware

16 de febrero de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware concreta.

Conti ransomware: Evasive by nature

16 de febrero de 2021 – Sophos informa de cómo los atacantes que propagan el Conti han cambiado de marcha a un método de ataque completamente sin archivos.

A Conti ransomware attack day-by-day

16 de febrero de 2021 – Sophos informa sobre el desarrollo de un incidente de ransomware Conti.

Los afiliados de Conti utilizan el exploit ProxyShell Exchange en ataques de ransomware

8 de septiembre de 2021 – Sophos informa sobre la investigación de un ataque de ransomware de Conti en el que los atacantes utilizaron un exploit ProxyShell.

Conti y Karma atacan a un proveedor de servicios médicos al mismo tiempo mediante exploits de ProxyShell

7 de marzo de 2022 – Sophos informa sobre un raro ataque de ransomware doble, en el que los operadores de ransomware Karma y Conti estaban en la red de un operador sanitario al mismo tiempo.

Cring

Cring ransomware se aprovecha del antiguo servidor ColdFusion

30 de septiembre de 2021 – Sophos informa sobre un actor de amenazas desconocido que explota una vulnerabilidad en una instalación de 11 años de antigüedad de Adobe ColdFusion 9 y despliega el poco habitual ransomware Cring.

DearCry

DearCry ransomware attacks exploit Exchange server vulnerabilities

15 de marzo de 2021 – Sophos informa sobre un ransomware poco sofisticado y “para principiantes” llamado DearCry, que imita al famoso ransomware WannaCry.

Dharma

Color by numbers: inside a Dharma ransomware-as-a-service attack

12 de agosto de 2020 – Sophos informa sobre el Dharma RaaS que se dirige a las empresas más pequeñas y proporciona a los afiliados scripts de ataque detallados, paso a paso.

DarkSide

La visión de un defensor en un ataque de ransomware DarkSide

11 de mayo de 2021 – Una inmersión de Sophos en los métodos de ataque del grupo de ransomware DarkSide.

Egregor

Egregor: el supuesto heredero del ransomware Maze

11 de diciembre de 2020 – Sophos informa sobre una nueva variante RaaS del ransomware Sekhmet que parece haber continuado donde lo dejó Maze.

Entropy

Dridex bots deliver Entropy ransomware in recent attacks

23 de febrero de 2022 – Sophos informa de que el código utilizado en el ransomware Entropy se parece al código utilizado en el malware Dridex, lo que sugiere un posible origen común.

Epsilon Red

Un nuevo ransomware entra en juego: Epsilon Red

2 de junio de 2021 – Sophos informa de un nuevo ransomware que descarga la mayor parte de su funcionalidad en una serie de scripts de PowerShell.

GandCrab

GandCrab 101: All about the most widely distributed ransomware of the moment

5 de marzo de 2019 – Una inmersión profunda en un ransomware que dominó el panorama en 2019.

No permita que su servidor SQL le ataque con ransomware

27 de mayo de 2019 – Sophos informa sobre un adversario desconocido que ataca servidores de bases de datos de Windows orientados a Internet con el ransomware GandCrab.

Karma

Conti y Karma atacan a un proveedor de servicios médicos al mismo tiempo mediante exploits de ProxyShell

7 de marzo de 2022 – Sophos informa sobre un raro ataque de ransomware doble, en el que los operadores de ransomware Karma y Conti estaban en la red de un operador sanitario al mismo tiempo.

LockBit

LockBit ransomware borrows tricks to keep up with REvil and Maze

24 de abril de 2020 – Sophos informa sobre cómo LockBit está implementando técnicas y comportamientos de otros grupos de ransomware de alto perfil.

LockBit uses automated attack tools to identify tasty targets

21 de octubre de 2021 – Sophos informa sobre cómo los operadores detrás del ransomware LockBit están utilizando copias renombradas de PowerShell y otras herramientas automatizadas para buscar sistemas con datos valiosos.

LockFile

Los trucos del ransomware LockFile: cifrado intermitente y evasión

1 de septiembre de 2021 – Sophos descubre una nueva familia de ransomware que aprovecha ProxyShell y utiliza el cifrado intermitente de archivos para evadir la detección de las herramientas antiransomware.

Matrix

Matrix: Targeted, small scale, canary in the coalmine ransomware

30 de enero de 2019 – Sophos informa sobre cómo el poco sofisticado ransomware Matrix tiene éxito aprovechando los escritorios remotos vulnerables para vulnerar las redes y alterar los objetivos.

Maze

Maze ransomware: extorting victims for 1 year and counting

12 de mayo de 2020 – Sophos informa de cómo los operadores del ransomware Maze fueron una de las primeras operaciones de ransomware que utilizaron el robo de datos como forma de coaccionar a las víctimas para que pagaran la petición de rescate.

Los ciberdelincuentes de Maze adoptan la técnica de máquina virtual de Ragnar Locker

18 de septiembre de 2020 – Sophos informa de cómo los operadores de Maze adoptaron una engorrosa técnica de entrega de ransomware de Ragnar Locker tras varios intentos fallidos de desplegar el ransomware.

Casos reales MTR: bloquea un ataque del ransomware Maze de 15 millones de dólares

6 de octubre de 2020 – Un relato día a día del desarrollo de un importante ataque de ransomware Maze.

MegaCortex

“MegaCortex” ransomware wants to be The One

3 de mayo de 2019 – Sophos informa sobre un nuevo y sofisticado grupo de ransomware que aprovecha tanto componentes automatizados como manuales.

MegaCortex, deconstructed: mysteries mount as analysis continues

10 de mayo de 2019 – Un artículo de seguimiento de la investigación que incluye nuevos conocimientos sobre las herramientas, las técnicas y las tácticas de despiste de este grupo de ransomware.

Memento

New ransomware actor uses password protected archives to bypass encryption protection

18 de noviembre de 2021 – Sophos informa sobre un incidente relacionado con el nuevo grupo de ransomware, Memento, que no pudo cifrar los archivos y los copió en archivos protegidos por contraseña.

Midas

Windows services lay the groundwork for a Midas ransomware attack

25 de enero de 2022 – Sophos informa sobre un ataque de ransomware que hizo un amplio uso de servicios de acceso remoto vulnerables y scripts de PowerShell.

Nefilim

Nefilim Ransomware Attack Uses “Ghost” Credentials

26 de enero de 2021 – Sophos informa de un incidente en el que los atacantes accedieron al objetivo utilizando las credenciales de la cuenta de un empleado fallecido.

Netwalker

Netwalker ransomware tools give insight into threat actor

27 de mayo de 2020 – Sophos detalla las tácticas, técnicas y procedimientos (TTP) utilizados por Netwalker tras descubrir un conjunto de malware y archivos relacionados.

ProLock

ProLock ransomware gives you the first 8 kilobytes of decryption for free

27 de julio de 2020 – Sophos informa sobre la cadena de ataque y las TTP de este nuevo ransomware.

Python

Python ransomware script targets ESXi server for encryption

5 de octubre de 2021 – Sophos informa de uno de los ataques de ransomware más rápidos que ha visto, en el que un script de Python en el hipervisor de la máquina virtual de destino cifró todos los discos virtuales.

RagnarLocker

El ransomware que ataca desde una máquina virtual

29 de mayo de 2020 – Sophos informa de un incidente en el que los atacantes desplegaron una máquina virtual completa en cada dispositivo objetivo para ocultar el ransomware de la vista.

Ragnarok

Asnarök attackers twice modified attack midstream

21 de mayo de 2021 – Sophos informa de cómo los atacantes de Asnarok intentan desplegar el ransomware Ragnarok a través de un firewall sin parches.

REvil

Relentless REvil, revealed: RaaS as variable as the criminals who use it

11 de junio de 2021 – Sophos detalla los diferentes TTPs vistos entre los clientes afiliados a REvil RaaS.

What to expect when you’ve been hit with REvil ransomware

30 de junio de 2021 – Parte de una serie diseñada para ayudar a los administradores de TI que se enfrentan al impacto de un ataque con una familia de ransomware en particular.

Independence Day: REvil uses supply chain exploit to attack hundreds of businesses

4 de julio de 2021 – Sophos detalla el ataque de criptoextorsión lanzado por un afiliado de REvil utilizando una actualización maliciosa para explotar el servicio de gestión remota VSA de Kaseya.

RobbinHood

Living off another land: Ransomware borrows vulnerable driver to remove security software

6 de febrero de 2020 – Sophos informa de ataques en los que los atacantes desplegaron un controlador de hardware legítimo y firmado digitalmente para eliminar productos de seguridad de los ordenadores objetivo antes de desplegar el ransomware RobbinHood.

Ryuk

They’re back: inside a new Ryuk ransomware attack

14 de octubre de 2020 – Sophos informa del regreso de Ryuk tras un periodo de tranquilidad, con herramientas evolucionadas para el compromiso y el despliegue del ransomware.

MTR in Real Time: Pirates pave way for Ryuk ransomware

6 de mayo de 2021 – Sophos informa sobre un incidente en el que la descarga de un programa de software pirata llevó a los atacantes a violar la red de un instituto de investigación y desplegar el ransomware Ryuk.

SamSam

Sophos releases SamSam ransomware report

31 de julio de 2018 – Sophos publica una inmersión profunda en el ransomware SamSam.

How a SamSam-like attack happens, and what you can do about it

29 de noviembre de 2018 – Sophos detalla un ataque típico de ransomware tipo SamSam y cómo defenderse de él.

Snatch

Snatch ransomware amenaza la seguridad mediante el reinicio furtivo en “modo seguro”

11 de diciembre de 2019 – Sophos informa sobre una novedosa amenaza híbrida de robo de datos y ransomware que desactiva las protecciones de seguridad reiniciando los equipos Windows en medio del ataque.

WannaCry

Sophos sigue la evolución de WannaCry de depredador a vacuna de alto riesgo

19 de septiembre de 2019 – Sophos informa de cómo, más de dos años después, las variantes modificadas de WannaCry siguen causando dolores de cabeza a los administradores de TI y a los analistas de seguridad.

WastedLocker

WastedLocker’s techniques point to a familiar heritage

4 de agosto de 2020 – Sophos informa de cómo WastedLocker evade la detección realizando la mayoría de las operaciones en memoria y comparte varias características con la familia de ransomware Bitpaymer.