Sophos ha publicado hoy un nuevo informe titulado “Ransomware ‘Junk Gun’: Peashooters todavía pueden tener un gran impacto”, que ofrece nuevos conocimientos sobre una amenaza emergente en el panorama del ransomware. Desde junio de 2023, Sophos Los desarrolladores de estas variantes están intentando alterar el modelo tradicional de ransomware como servicio (RaaS) basado en afiliados que ha dominado el negocio del ransomware durante casi una década. En lugar de vender o comprar ransomware a afiliados o hacerse pasar por afiliados, los atacantes crean y venden variantes de ransomware poco sofisticadas por un pago único, lo que otros atacantes a veces ven como una oportunidad para atacar a las pequeñas y medianas empresas. (PYMES), e incluso a particulares.
“Durante los últimos dos años, el ransomware ha alcanzado una especie de homeostasis. Sigue siendo una de las amenazas más graves y generalizadas para las empresas, pero nuestro informe Active Adversary más reciente revela que la cantidad de ataques se ha estabilizado y la estafa RaaS sigue siendo el modelo operativo de la mayoría de los principales grupos de ransomware. . Sin embargo, en los últimos dos meses, algunos de los principales actores del ecosistema de ransomware han desaparecido o han cerrado sus negocios y, en el pasado, también hemos visto a afiliados de ransomware expresar su enojo por el esquema de participación en las ganancias de RaaS. “Nada en el mundo del cibercrimen permanece estático para siempre, y estas versiones baratas de ransomware comercial pueden ser la próxima evolución en el ecosistema de ransomware, especialmente para los ciberatacantes menos capacitados que simplemente buscan obtener ganancias en lugar de hacerse un nombre. ” él dijo. Christopher Budd, director de investigación de amenazas de Sophos.
Como se señala en el informe de Sophos, el precio promedio de estas variantes de ransomware de spam en la Dark Web fue de $375, significativamente más barato que el de algunos kits de afiliados de RaaS, que pueden costar más de $1000.
El informe indica que los ciberdelincuentes han utilizado cuatro de estas variantes en sus ataques. Aunque las capacidades del ransomware Junk-gun varían ampliamente, sus mayores puntos de venta son que el ransomware requiere poca o ninguna infraestructura de soporte para funcionar, y los usuarios no están obligados a compartir sus ganancias con los creadores.
Las discusiones sobre el ransomware Junk Gun se llevan a cabo principalmente en foros de la Dark Web de habla inglesa dirigidos a delincuentes de bajo nivel, en lugar de en foros bien establecidos de habla rusa frecuentados por destacados grupos de atacantes. Estas nuevas variantes ofrecen una forma atractiva para que los ciberdelincuentes más nuevos se inicien en el mundo del ransomware, y junto a los anuncios de estas variantes económicas de ransomware hay numerosos mensajes que solicitan consejos y tutoriales sobre cómo empezar.
“Este tipo de variantes de ransomware no van a pedir rescates millonarios como Clop y Lockbit, pero pueden ser eficaces contra las pymes, y para muchos ciberdelincuentes que están empezando su ‘carrera’, eso es suficiente”. Aunque el fenómeno del ransomware de armas basura es todavía relativamente nuevo, ya hemos visto mensajes de sus creadores sobre sus ambiciones de escalar sus operaciones, y hemos visto múltiples mensajes de otros que hablan de crear sus propias variantes de ransomware.
“Lo más preocupante es que esta nueva amenaza de ransomware plantea un desafío único para los defensores. Dado que los atacantes utilizan estas variantes contra las PYME y las sumas exigidas son pequeñas, es probable que la mayoría de los ataques no sean detectados ni denunciados. Esto deja una brecha de inteligencia para los defensores, una brecha que la comunidad de seguridad tendrá que llenar”, dijo Budd.
