[22/04/2024] Sophos ha publicado hoy un nuevo informe titulado "Ransomware 'Junk Gun': Peashooters Still Can Pack a Punch", que ofrece nuevos conocimientos sobre una amenaza emergente en el panorama del ransomware. Desde junio del 2023, Sophos X-Ops ha descubierto 19 variantes de ransomware "'junk gun" (variantes de ransomware baratas, producidas de forma independiente y construidas de forma rudimentaria) en la web oscura. Según lo señalado en el comunicado de prensa, los desarrolladores de estas variantes 'unk gun están intentando interrumpir el modelo tradicional de ransomware como servicio (RaaS) basado en afiliados que ha dominado la estafa del ransomware durante casi una década. En lugar de vender o comprar ransomware a o como afiliado, los atacantes están creando y vendiendo variantes de ransomware poco sofisticadas por un costo único, lo que otros atacantes a veces ven como una oportunidad para atacar a pequeñas y medianas empresas (PYMES) e incluso a individuos.
"Durante los últimos dos años, el ransomware ha alcanzado una especie de homeostasis. Sigue siendo una de las amenazas más generalizadas y graves para las empresas, pero nuestro informe más reciente encontró que el número de ataques se ha estabilizado, y la estafa RaaS se ha mantenido como el modelo operativo de referencia para la mayoría de los principales grupos de ransomware. Sin embargo, en los últimos dos meses, algunos de los principales actores del ecosistema del ransomware han desaparecido o cerrado y, en el pasado, también hemos visto a los afiliados de ransomware expresar su ira por el esquema de reparto de beneficios de RaaS. Nada dentro del mundo de la ciberdelincuencia permanece estático para siempre, y estas versiones baratas de ransomware listas para usar pueden ser la próxima evolución en el ecosistema del ransomware, especialmente para los atacantes cibernéticos menos calificados que simplemente buscan obtener ganancias en lugar de un nombre para sí mismos", sostuvo Christopher Budd, director de investigación de amenazas de Sophos.
Como se señala en el informe de Sophos, el precio medio de estas variantes de ransomware basura en la web oscura fue de 375 dólares, significativamente más barato que algunos kits para afiliados de RaaS, que pueden costar más de mil dólares. El informe indica que los ciberatacantes han desplegado cuatro de estas variantes en los ataques. Si bien las capacidades del ransomware junk gun varían ampliamente, sus mayores puntos de venta son que el ransomware requiere poca o ninguna infraestructura de soporte para funcionar, y los usuarios no están obligados a compartir sus ganancias con los creadores.
"Las discusiones sobre ransomware junk gun se llevan a cabo principalmente en foros de la web oscura de habla inglesa dirigidos a delincuentes de bajo nivel, en lugar de foros de habla rusa bien establecidos frecuentados por grupos de atacantes prominentes. Estas nuevas variantes ofrecen una forma atractiva para que los ciberdelincuentes más nuevos se inicien en el mundo del ransomware y, junto con los anuncios de estas variantes baratas de ransomware, hay numerosas publicaciones que solicitan consejos y tutoriales sobre cómo comenzar”, indicó Budd.
El ejecutivo agregó que este tipo de variantes de ransomware no van a exigir rescates millonarios como Clop y Lockbit, pero pueden ser efectivas contra las pymes, y para muchos atacantes que comienzan sus 'carreras', eso es suficiente. "Si bien el fenómeno del ransomware de armas basura aún es relativamente nuevo, ya hemos visto publicaciones de sus creadores sobre sus ambiciones de escalar sus operaciones, y hemos visto varias publicaciones de otros que hablan sobre la creación de sus propias variantes de ransomware. Lo que es más preocupante es que esta nueva amenaza de ransomware plantea un desafío único para los defensores. Debido a que los atacantes utilizan estas variantes contra las pymes y las demandas de rescate son pequeñas, es probable que la mayoría de los ataques no se detecten ni se informen. Eso deja un vacío de inteligencia para los defensores, que la comunidad de seguridad tendrá que llenar", finalizó Budd.
Franca Cavassa, CTOPerú