Una empresa destacada en la lista Fortune 50 pago un rescate record de 75 millones de dólares a la banda de ransomware Dark Angels.
Según Informe de Zscaler ThreatLabz de 2024 de ransomware este monto de rescate supera a cualquier cifra previamente documentada en incidentes de este tipo, subraya la creciente amenaza que representan estos ataques y marca un nuevo hito en el ámbito de la ciberseguridad.
Este notable pago es un logro que, sin duda, atraerá el interés de otros grupos de cibercriminales que buscan replicar el éxito de Dark Angels mediante la adopción de sus tácticas y estrategias, que detallamos a continuación". Este récord, establecido en el contexto de ciberseguridad cada vez más volátil, pone de manifiesto la creciente sofisticación y audacia de los atacantes.
Chainalysis, una destacada empresa especializada en inteligencia de criptomonedas, corroboró la veracidad del pago a través de un tuit en la plataforma X, lo que añade una capa adicional de confirmación al informe de Zscaler. Antes de este evento, el récord de rescate más alto había sido de 40 millones de dólares, una cantidad pagada por el gigante de seguros CNA en respuesta a un ataque perpetrado por el grupo de ransomware Evil Corp, conocido por su agresiva táctica de extorsión.
A pesar de la confirmación del pago récord, Zscaler no ha revelado la identidad de la empresa que realizó el desembolso.
Se ha indicado que la víctima pertenece a la lista Fortune 50 y que el ataque ocurrió a principios de 2024. Entre las empresas de la lista Fortune 50 que sufrieron un ciberataque significativo en febrero de 2024, se encuentra Cencora, un prominente gigante farmacéutico que ocupa el puesto #10 en la lista. Aunque hasta la fecha ninguna banda de ransomware ha reivindicado la responsabilidad del ataque a Cencora, la falta de una reclamación pública sugiere la posibilidad de que se haya efectuado un pago de rescate considerable para resolver el incidente.
Este récord de rescate pone en evidencia la evolución y la gravedad del fenómeno del ransomware, así como el impacto potencial en las empresas de alto perfil. Los ataques de ransomware no solo amenazan la integridad y la confidencialidad de los datos, sino que también pueden tener consecuencias económicas devastadoras para las organizaciones afectadas. La tendencia creciente de pagos de rescates exorbitantes también subraya la necesidad crítica de que las empresas adopten medidas preventivas robustas y estrategias de ciberseguridad efectivas para protegerse contra futuros ataques.
En respuesta a estas amenazas en evolución, las organizaciones deben considerar una serie de medidas proactivas, incluyendo la implementación de soluciones avanzadas de protección contra ransomware, la capacitación continua de su personal en buenas prácticas de ciberseguridad y la colaboración con expertos en seguridad para mantenerse a la vanguardia de las tácticas de los atacantes. Solo a través de un enfoque integral y bien coordinado podrán las empresas mitigar el riesgo de ser las próximas víctimas en este despiadado juego de extorsión.
Dark Angels Team surgió en mayo de 2022. Los actores detrás de las campañas de Dark Angels Team practican la doble extorsión: exigen el pago por un descifrador, así como por la no publicación de los datos robados. El código de las cargas útiles centradas en Windows de Dark Angels Team se deriva de los constructores de Babuk filtrados y es casi idéntico en cuanto a características. A finales de 2023, se descubrieron cargas útiles centradas en Linux/ESXi. Estas variantes del ransomware Dark Angels Team que no son de Windows no se derivan de Babuk, sino que optan por una base de código más personalizada similar a RagnarLocker.
Se ha descubierto que el ransomware Dark Angels Team se dirige a una variedad de industrias, incluidas la atención médica, el gobierno, las finanzas y la educación. En septiembre de 2023, la empresa de automatización y fabricación Johnson Controls fue objeto de un ataque de ransomware en el que los actores de amenazas utilizaron el ransomware DarkAngels para bloquear los servidores VMWare ESXi de la empresa.
Las cargas útiles de Dark Angel Team para Windows se basan en el código fuente de Babuk y funcionan de la misma manera. El ransomware intentará inhibir la recuperación del sistema y finalizar cualquier proceso que pueda interferir con el proceso de cifrado.
Las cargas útiles centradas en Linux/ESXi de Dark Angels Team se basan en una base de código diferente y, por lo tanto, difieren mucho de sus contrapartes de Windows. Las cargas útiles de Dark Angels Team en Linux/ESXi son binarios de 64 bits en formato ejecutable y enlazable (ELF) diseñados para sistemas Linux basados en Intel. Al ejecutarse, el programa registra el progreso del cifrado en el nombre del archivo de registro codificado, wrkman.log, que se guarda en el directorio desde el que se ejecuta el binario de DarkAngels. DarkAngels (Linux) utiliza AES con una clave de 256 bits para cifrar archivos.
La plataforma SentinelOne Singularity XDR puede identificar y detener cualquier actividad maliciosa y elementos relacionados con el ransomware Dark Angels Team.
En caso de que no tenga SentinelOne implementado, la detección del ransomware Dark Angels Team requiere una combinación de medidas técnicas y operativas diseñadas para identificar y marcar actividades sospechosas en la red. Esto permite a la organización tomar las medidas adecuadas y prevenir o mitigar el impacto del ataque de ransomware.
Para detectar el ransomware Dark Angels Team sin SentinelOne implementado, es importante adoptar un enfoque de varias capas, que incluya los siguientes pasos: