La nueva amenaza de ransomware proveniente de un antiguo grupo ruso

Ransom Cartel es un grupo de Ransomware as a Service (RaaS) que apareció a mediados de diciembre de 2021; esta organización realiza ataques de doble extorsión y presenta varias similitudes y superposiciones técnicas con el grupo de ransomware REvil, que desapareció solo un par de meses antes de que surgiera Ransom Cartel y solo un mes después de que 14 de sus presuntos miembros fueran arrestados en Rusia. Cuando apareció Ransom Cartel por primera vez, no estaba claro si era un cambio de marca de REvil o una organización no relacionada que reutilizó o imitó el código del ransomware REvil.

Unit 42 observó Ransom Cartel por primera vez a mediados de enero de 2022 y al notar la primera actividad conocida de Ransom Cartel notaron varias similitudes y superposiciones técnicas con el ransomware REvil. Que un grupo de ransomware surja de otro no es extraño, lo mismo ocurrió con BlackBasta, conjunto que cuenta con miembros del conjunto Conti, el cual fue responsable de diez ataques de Ransomware en Latinoamérica, dos de ellos en México.

En este momento, Unit 42 cree que los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil, pero no a algunos de los desarrollos más recientes. Esto sugiere que hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente.

Unit 42 también detectó a las primeras víctimas alrededor de enero de 2022 en los EE. UU. y Francia. Ransom Cartel ha atacado organizaciones en las siguientes industrias: educación, manufactura y servicios públicos y energía. Los miembros del equipo de respuesta a incidentes de Unit 42 también han ayudado con los esfuerzos de respuesta en varios casos de Ransom Cartel, ya que los clientes de Palo Alto Networks reciben ayuda con la detección y prevención del Black Basta Ransomware por medio de las soluciones de Cortex XDR y Firewalls de última generación como WildFire. 

Mientras que REvil puede haber desaparecido, su influencia maliciosa no lo ha hecho. El operador del blog recién establecido parece tener algún tipo de acceso a REvil o vínculos con el grupo; asimismo, el análisis de muestras de Ransom Cartel también proporciona una fuerte evidencia de vínculos con REvil. Unit 42 también ha notado que Ransom Cartel encripta servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.

Los ataques de Ransomware siguen creciendo gracias a las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se mantiene actualizado con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.

Julián Torrado

Recent Posts

La anatomía del ransomware: las 6 fases de un ataque

Por Anthony Cusimano, Director de Marketing Técnico en Object First.

2 días ago

Informe global de fraude registra 19% de incremento en ataques

Solo seis de cada diez organizaciones cuentan con soluciones tecnológicas de prevención del fraude en…

2 días ago

Cisco presenta nuevas innovaciones de IA para ampliar la experiencia de los empleados

Los equipos de TI se benefician de la simplicidad de despliegue, gestión y la capacidad…

3 días ago

El equipo de Fórmula Uno Aston Martin Aramco anuncia una asociación con Xerox

La marca Xerox será visible en el AMR24 en el Gran Premio de Las Vegas.

3 días ago

La Inteligencia Artificial está revolucionando a las tiendas de barrio

Yalo observa que la IA es una herramienta transformadora que está cambiando el juego para…

3 días ago

Infoblox Threat Intel identifica nuevos actores DNS maliciosos vinculados al secuestro de dominios

Más de 1 millón de dominios registrados podrían ser vulnerables diariamente

4 días ago