La nueva amenaza de ransomware proveniente de un antiguo grupo ruso

Ransom Cartel es un grupo de Ransomware as a Service (RaaS) que apareció a mediados de diciembre de 2021; esta organización realiza ataques de doble extorsión y presenta varias similitudes y superposiciones técnicas con el grupo de ransomware REvil, que desapareció solo un par de meses antes de que surgiera Ransom Cartel y solo un mes después de que 14 de sus presuntos miembros fueran arrestados en Rusia. Cuando apareció Ransom Cartel por primera vez, no estaba claro si era un cambio de marca de REvil o una organización no relacionada que reutilizó o imitó el código del ransomware REvil.

Unit 42 observó Ransom Cartel por primera vez a mediados de enero de 2022 y al notar la primera actividad conocida de Ransom Cartel notaron varias similitudes y superposiciones técnicas con el ransomware REvil. Que un grupo de ransomware surja de otro no es extraño, lo mismo ocurrió con BlackBasta, conjunto que cuenta con miembros del conjunto Conti, el cual fue responsable de diez ataques de Ransomware en Latinoamérica, dos de ellos en México.

En este momento, Unit 42 cree que los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil, pero no a algunos de los desarrollos más recientes. Esto sugiere que hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente.

Unit 42 también detectó a las primeras víctimas alrededor de enero de 2022 en los EE. UU. y Francia. Ransom Cartel ha atacado organizaciones en las siguientes industrias: educación, manufactura y servicios públicos y energía. Los miembros del equipo de respuesta a incidentes de Unit 42 también han ayudado con los esfuerzos de respuesta en varios casos de Ransom Cartel, ya que los clientes de Palo Alto Networks reciben ayuda con la detección y prevención del Black Basta Ransomware por medio de las soluciones de Cortex XDR y Firewalls de última generación como WildFire. 

Mientras que REvil puede haber desaparecido, su influencia maliciosa no lo ha hecho. El operador del blog recién establecido parece tener algún tipo de acceso a REvil o vínculos con el grupo; asimismo, el análisis de muestras de Ransom Cartel también proporciona una fuerte evidencia de vínculos con REvil. Unit 42 también ha notado que Ransom Cartel encripta servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.

Los ataques de Ransomware siguen creciendo gracias a las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se mantiene actualizado con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.

Julián Torrado

Recent Posts

Una nueva era para la ciberseguridad: cómo aprovechar la IA para sortear el desafiante panorama de las ciberamenazas

Por Dula Hernández, Systems Engineering Manager de Palo Alto Networks México.

55 mins ago

Yalo recibe el premio como innovador en los “Disruptive Jaguar Awards 2024” de Mastercard y Endeavor

Igual que en otras industrias, los servicios financieros están inmersos en una época de transformación…

23 horas ago

El Salvador, Guatemala y Honduras avanzan en velocidad y experiencia de internet

Según los informes de Ookla del primer semestre de 2024, los servicios de internet y…

24 horas ago

Niños y niñas en Snapchat: Cómo mantenerlos seguros

ESET analiza a qué riesgos se exponen niños en Snapchat, comparte consejos para garantizar su…

1 día ago

Zoho Corporation utilizará NVIDIA NeMo para desarrollar LLMs

A través de este convenio, Zoho desarrollará Modelos de Lenguaje Extenso (LLMs) con las herramientas…

4 días ago

Más del 30% de las empresas de manufactura piensan implementar IA en sus procesos

La inteligencia artificial sigue tomando el mando de los procesos en general. Aunque no es…

4 días ago