Sophos, líder mundial en soluciones de seguridad innovadoras para derrotar los ciberataques, ha publicado hoy un nuevo informe titulado «‘Junk Gun’ Ransomware: Peashooters Can Still Pack a Punch«, que ofrece nuevas perspectivas sobre una amenaza emergente en el panorama del ransomware.
Desde junio de 2023, Sophos X-Ops ha descubierto 19 variantes de ransomware «Junk Gun» -variantes de ransomware baratas, producidas de forma independiente y construidas burdamente- en la dark web. Los desarrolladores de estas variantes intentan alterar el modelo tradicional de ransomware como servicio (RaaS) basado en afiliados que ha dominado el negocio del ransomware durante casi una década. En lugar de vender o comprar ransomware a afiliados o haciéndose pasar como un afiliado, los atacantes están creando y vendiendo variantes de ransomware poco sofisticadas por un pago único, lo que otros pares ven a veces como una oportunidad para dirigirse a las pymes, e incluso a particulares.
«Desde hace uno o dos años, el ransomware ha alcanzado una especie de homeostasis. Sigue siendo una de las amenazas más extendidas y graves para las empresas, pero nuestro informe Active Adversary más reciente revela que el número de ataques se ha estabilizado y que la estafa RaaS ha seguido siendo el modelo operativo de la mayoría de los principales grupos de ransomware. En los últimos dos meses, sin embargo, algunos de los principales actores del ecosistema del ransomware han desaparecido o cerrado, y, en el pasado, también hemos visto a afiliados del ransomware desahogar su ira por el esquema de reparto de beneficios de RaaS. Nada en el mundo de la ciberdelincuencia permanece estático para siempre, y estas versiones baratas de ransomware comercial pueden ser la próxima evolución en el ecosistema, especialmente para los ciberatacantes menos cualificados que simplemente buscan obtener ganancias en lugar de hacerse un nombre», dijo Christopher Budd, director de investigación de amenazas de Sophos.
Como se señala en el informe de Sophos, el precio promedio de estas variantes de ransomware basura en la Dark Web era de 375 dólares, significativamente más barato que algunos kits para afiliados a RaaS, que pueden costar más de 1.000 dólares. El informe indica que los ciberdelincuentes han desplegado cuatro de estas variantes en ataques. Aunque las capacidades del junk-gun ransomware varían ampliamente, sus mayores argumentos de venta son que el ransomware requiere poca o ninguna infraestructura de apoyo para funcionar, y los usuarios no están obligados a compartir sus ganancias con los creadores.
Los debates sobre el ransomware Junk Gun están teniendo lugar principalmente en foros de habla inglesa de la Dark Web dirigidos a delincuentes de bajo nivel, en lugar de en foros de habla rusa bien establecidos y frecuentados por grupos de atacantes destacados. Estas nuevas variantes ofrecen una forma atractiva para que los ciberdelincuentes más novatos se inicien en el mundo del ransomware y, junto a los anuncios de estas variantes baratas de ransomware, se encuentran numerosos mensajes solicitando consejos y tutoriales sobre cómo empezar.
«Este tipo de variantes de ransomware no van a pedir rescates millonarios como Clop y Lockbit, pero sí pueden ser eficaces contra las PYMES, y para muchos ciberdelincuentes que empiezan su ‘carrera’, eso es suficiente». Aunque el fenómeno del junk gun ransomware es todavía relativamente nuevo, ya hemos visto mensajes de sus creadores sobre sus ambiciones de escalar sus operaciones, y hemos visto múltiples mensajes de otros hablando de crear sus propias variantes de ransomware.
«Lo más preocupante es que esta nueva amenaza de ransomware plantea un desafío único para los defensores. Dado que los atacantes están utilizando estas variantes contra las pymes y las sumas exigidas son pequeñas, es probable que la mayoría de los ataques pasen desapercibidos y no se denuncien. Esto deja un vacío de inteligencia para los defensores, un vacío que la comunidad de seguridad tendrá que llenar», dijo Budd.
Para saber más sobre el ransomware junk gun y el más reciente cambio en el ecosistema del ransomware, lee «‘Junk Gun’ Ransomware: Peashooters Can Still Pack a Punch» en Sophos.com.