Los expertos en ciberseguridad han advertido sobre un nuevo grupo de ciberdelincuencia conocido como ShadowSyndicate – anteriormente Infra Storm– que puede haber aprovechado hasta siete familias diferentes de ransomware durante el 2022 para cometer ciberataques.
Activos desde el 16 de julio del año pasado, ShadowSyndicate es un actor de amenazas que trabaja con varios grupos de ransomware y afiliados de programas de ransomware relacionados con las cepas Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus y Play, al tiempo que implementa herramientas post-explotación, disponibles en el mercado, como Cobalt Strike y Sliver, así como, cargadores como IcedID y Matanbuchus.
Este tipo de grupos ha aumentado el uso de la extorsión multinivel, en la que cifran y extraen los datos de sus objetivos. Por lo general, amenazan con divulgar públicamente los datos robados, utilizan ataques DDoS o acosan a los clientes de la víctima para obligarla a pagar.
Akira es un buen ejemplo de ello. El ransomware ha ampliado su alcance desde que surgió como una amenaza basada en Windows en marzo de 2023 para incluir servidores Linux y máquinas virtuales VMWare ESXi, lo que subraya su capacidad para adaptarse rápidamente a las tendencias. A mediados de septiembre, Akira había alcanzado con éxito a 110 víctimas en los Estados Unidos y el Reino Unido.
almacenamiento en la nube y Ciber CISO Virtual. ¿Hablamos?
Aumento en las reclamaciones de seguros cibernéticos
El resurgimiento de los ataques de ransomware también ha ido acompañado de un aumento en las reclamaciones de seguros cibernéticos.
La frecuencia general de las reclamaciones aumentó un 12 % en la primera mitad del año en los Estados Unidos y las víctimas informaron una pérdida promedio de más de 365.000 €, un aumento del 61 % a partir del segundo semestre de 2022.
Durante estas intrusiones, se observó cómo aprovechaban varias herramientas RMM – AnyDesk, Splashtop y Atera- y usaban Chrome para acceder a la bóveda LastPass instalada en el objetivo a través de la extensión del navegador, donde obtuvieron la OTP para acceder a la cuenta de Sophos Central del objetivo que es utilizado por los clientes para gestionar sus productos Sophos.
Luego, modificaron las políticas de seguridad y deshabilitaron la protección contra manipulaciones dentro de la Central antes de cifrar los sistemas del cliente y las cuentas remotas de Azure Storage mediante un ejecutable de ransomware con la extensión tipo .zk09cvt
Evita que tu empresa sea una más en las estadísticas de ciberataques
Toma el control de tu seguridad informática con Rogarnfels.
Somos expertos en la creación y diseño de proyectos de seguridad informática, almacenamiento en la nube y Ciber CISO Virtual.
Nuestras soluciones de ciberseguridad “Llave en mano” están diseñadas a la medida para proteger la información confidencial de tu organización, a tus clientes y garantizar la continuidad del negocio.
Contamos con una metodología probada y exitosa que ha sido implementada en ambientes corporativos de alta complejidad.
