LockBit resurge, pero RansomHub se mantiene como ‘ransomware’ prevalente

Aunque en junio experimentó una caída significativa, LockBit ha conseguido resurgir. De acuerdo con el Índice Global de Amenazas correspondiente al mes de julio que ha elaborado Check Point Software, se consolida como segundo grupo de ransomware más importante en lo que a su impacto se refiere.

LockBit3 fue responsable de un 8 % de los ataques el pasado mes, según datos de los “shame sites” de grupos de ransomware de doble extorsión que publican información de las víctimas.

El primer lugar es para RansomHub, que se encuentra detrás de un 11 % de los ataques publicados. Mientras, el tercer puesto es para Akira, con una cuota del 6 %.

RansomHub se define como ransomware como servicio (RaaS) y utiliza métodos de cifrado sofisticados. Apareció a principios de este mismo año en foros clandestinos, como una versión renovada de Knight.

Con el paso de las semanas RansomHub ha ido ganando relevancia debido al lanzamiento de campañas agresivas que apuntan a diferentes sistemas, incluyendo Windows, macOS y Linux. Pero, en particular, destaca por sus acciones contra entornos VMware ESXi.

“La continua persistencia y resurgimiento de grupos de ransomware como Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrándose en el ransomware”, comenta Maya Horowitz, vicepresidente de Investigación de Check Point Software, y esto es “un importante desafío para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos“.

“La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes”, señala Horowitz, “lo que compromete aún más las defensas de las empresas”.

“Para contrarrestar estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos”, observa.

A nivel de malware, el estudio de Check Point Software posiciona a FakeUpdates en el número uno. Este downloader hecho en JavaScript escribe payloads en el disco y ha ido llevando a otros programas maliciosos como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.

Durante el mes de julio, los investigadores descubrieron nuevas tácticas de FakeUpdates, que es el malware prevalente con un impacto en organizaciones a nivel mundial del 9,45 %.

El número dos corresponde a la botnet Androxgh0st, capaz de explotar múltiples vulnerabilidades y de robar información sensible como cuentas de Twilio, credenciales SMTP o llave AWS. Su impacto globale es del 5,87 %.

El tercer puesto se lo queda el malware multifunción Qbot, que durante el último par de años se ha posicionado como troyano. En julio afectó al 4,26 % de las empresas. Suele propagarse a través de correos no deseados y aprovecha técnicas anti-VM, antidebugging y antisandbox.