Investigadores de ESET han analizado los cambios significativos en el ecosistema del ransomware durante el año 2024, enfocándose en RansomHub, una nueva banda de ransomware como servicio (RaaS) que ha surgido con gran fuerza. Este grupo ha establecido conexiones evidentes con bandas conocidas como Play, Medusa y BianLian, revelando detalles sobre su estructura de afiliados e interacciones en el ámbito del cibercrimen.
Uno de los aspectos destacados del análisis es EDRKillShifter, un desarrollador de EDR killers creado por RansomHub, que apunta a desactivar las soluciones de detección de amenazas. Los investigadores han observado un aumento en el uso de código derivados de conceptos demostrativos públicos, utilizando una serie de controladores que, aunque limitados, presentan un riesgo considerable.
El panorama del ransomware en 2024 marcó un hito significativo: los pagos por rescate disminuyeron en un 35%, mientras que el número de víctimas listadas en sitios de filtración creció en un 15%. Esta contradicción sugiere que, a pesar de los éxitos policiales en operaciones como la operación Cronos, el problema persiste debido a grupos emergentes como RansomHub. Desde su primera publicación de victima en febrero de 2024, RansomHub ha incrementado constantemente su actividad, superando a sus competidores anteriores.
A través de un análisis exhaustivo, se han documentado conexiones entre RansomHub y sus rivales, enfatizando el intercambio de herramientas y tácticas entre grupos. ESET alega que el uso de EDRKillShifter se está extendiendo más allá de las operaciones de RansomHub, ya que otras bandas también han comenzado a adoptarlo para mejorar la efectividad de sus ataques. La capacidad de los afiliados para operar en múltiples grupos RaaS resalta un problema de fondo en la lucha contra el cibercrimen.
La respuesta de la ley a grupos de ransomware ha demostrado ser eficaz en algunos casos, pero la rapidez con la que los afiliados se reorganizan plantea un desafío constante. La colaboración entre grupos rivales y el uso de herramientas comunes complica la identificación de actores individuales. Esto sugiere que la atención debe centrarse más en las interconexiones entre bandas para desmantelar efectivamente estas redes criminales.
A pesar de los esfuerzos para erradicar grupos como LockBit y BlackCat, el surgimiento de RansomHub indica que las amenazas evolucionan rápidamente, aprovechando la inestabilidad del ecosistema del ransomware. La lucha contra el ransomware requerirá una estrategia más coordinada y efectiva, enfocándose en la detección y eliminación de afiliados activos en distintas bandas.
Fuente: WeLiveSecurity by eSet.
