La Oficina Federal de Investigación de los Estados Unidos (FBI) está advirtiendo sobre una nueva tendencia de ataques de ransomware dobles dirigidos a las mismas víctimas, al menos desde julio de 2023.
"Durante estos ataques, los actores de amenazas cibernéticas desplegaron dos variantes diferentes de ransomware contra empresas víctimas a partir de las siguientes variantes: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal", dijo el FBI en una alerta. "Las variantes se desplegaron en varias combinaciones".
No se sabe mucho sobre la escala de tales ataques, aunque se cree que ocurren en estrecha proximidad entre sí, en un rango que va desde 48 horas hasta 10 días.
Otro cambio notable observado en los ataques de ransomware es el aumento en el uso de herramientas personalizadas de robo de datos, eliminación de datos y malware para ejercer presión sobre las víctimas para que paguen.
"Este uso de variantes de ransomware dobles resultó en una combinación de cifrado de datos, extracción de datos y pérdidas financieras por pagos de rescate", dijo la agencia. "Segundos ataques de ransomware contra un sistema que ya ha sido comprometido podrían dañar significativamente a las entidades víctimas".
Cabe destacar que los ataques de ransomware dobles no son un fenómeno completamente nuevo, con casos observados tan temprano como mayo de 2021.
El año pasado, Sophos reveló que un proveedor automotriz sin nombre había sido víctima de un triple ataque de ransomware que comprendía Lockbit, Hive y BlackCat en un lapso de dos semanas entre abril y mayo de 2022.
Luego, a principios de este mes, Symantec detalló un ataque de ransomware 3AM dirigido a una víctima no identificada después de un intento fallido de entregar LockBit en la red objetivo.
El cambio en las tácticas se debe a varios factores contribuyentes, incluida la explotación de vulnerabilidades de día cero y la proliferación de intermediarios de acceso inicial y afiliados en el panorama del ransomware, quienes pueden revender el acceso a sistemas víctimas y desplegar diversas cepas en rápida sucesión.
Se recomienda a las organizaciones fortalecer sus defensas mediante la mantención de copias de seguridad fuera de línea, la supervisión de las conexiones remotas externas y el uso del protocolo de escritorio remoto (RDP), la aplicación de autenticación multifactor resistente al phishing, la auditoría de cuentas de usuario y la segmentación de redes para prevenir la propagación del ransomware.
¿Quieres saber más?