Grupos cibercriminales más peligrosos de 2023
CLOP/Cl0p
Este es un grupo de ransomware que ha estado presente desde 2019 y sigue teniendo éxito. En 2023, CLOP llevó a cabo una serie de ataques dirigidos a vulnerabilidades zero-day, es decir, fallos de seguridad informática que existen en software o hardware y que son desconocidos por el fabricante del producto.
Incluso, a finales de marzo, pudieron en un mismo día reportar 26 nuevas víctimas de su actividad de ransomware como servicio. Este grupo cibercriminal suele anunciar a través de su portal en la Dark Web el nombre de sus víctimas, especialmente aquellas que se niegan a pagar el rescate.
De acuerdo con Narang, entre los principales afectados estuvieron GoAnywhere de Fortra y MOVEit Transfer. “Algunos informes sugieren que solo de MOVEit, CLOP recibirá entre 75 y 100 millones de dólares en pagos de rescate”, dijo.
LockBit 3.0
LockBit 3.0 es uno de los grupos de ransomware más notorios y destacados en la actualidad, ya que continúan sumando numerosas víctimas cada mes. “LockBit sigue evolucionando y lo que ayuda a que se mantenga en la cima son sus habilidades para reclutar afiliados en sus operaciones” explica Narang.
Los afiliados son parte de lo que llamamos el ecosistema de ransomware, ya que son los responsables de llevar a cabo los ataques. Un grupo solo tiene éxito en la medida en que los afiliados lo respaldan, y LockBit sigue destacando este aspecto del ecosistema de ransomware.
Hacia finales de 2023, los afiliados de LockBit aprovecharon una vulnerabilidad llamada CitrixBleed en los productos Citrix NetScaler y Gateway. Además, de acuerdo con Wired , en octubre se informó que el malware de LockBit se implantó para hackear servidores Microsoft Exchange aprovechando una vulnerabilidad de día cero, algo relativamente inusual cuando se trata de bandas de ransomware.
Scattered Spider
Scattered Spider se enfoca en grandes empresas y sus mesas de ayuda de tecnología de la información.
El grupo se hizo notorio en 2023 debido a los ataques que llevaron a cabo contra casinos en Las Vegas, incluyendo MGM y Caesars , utilizando tácticas inteligentes de ingeniería social contra sus mesas de ayuda de TI para ingresar a estas organizaciones.
Sus ataques provocaron días de interrupciones en los casinos, lo que resultó en pérdidas operativas millonarias. “Se cree que Scattered Spider es un afiliado del grupo de ransomware BlackCat/ALPHV” dijo Narang.
BlackCat/ALPHV
BlackCat/ALPHV en sí es otro grupo de ransomware destacado que ha tenido un impacto significativo en organizaciones de todo el mundo en 2023, pues el grupo continúa evolucionando sus esfuerzos y añadiendo nuevas tácticas de extorsión para influenciar a las víctimas.
Por ejemplo, recientemente informó a la Comisión de Valores y Bolsa de los Estados Unidos (SEC) sobre MeridianLink, uno de sus objetivos, debido a las nuevas reglas de informe de violación de datos adoptadas recientemente este mes.
Las tácticas de extorsión son medios adicionales para que los grupos de ransomware intenten obligar a las víctimas a pagar el rescate.
APT28 (también conocido como Fighting Ursa, Fancy Bear, Forest Blizzard)
En 2023, los actores amenazantes rusos han estado bastante activos, especialmente un grupo conocido como APT28.
“Se ha observado que el grupo aprovecha vulnerabilidades zero-day en WinRAR y Microsoft Outlook enviando decenas de miles de correos electrónicos en un intento de explotar organizaciones de todo el mundo”, explicó Narang.
Observaciones recientes sugieren que el grupo ha dirigido sus ataques a miembros europeos de la OTAN. A diferencia de los grupos de ransomware que se centran más en ataques oportunistas, grupos como APT28 buscan objetivos en países y organizaciones de interés.
