ClickCease Ataque del ransomware Knight: Empresas y sanidad en el punto de mira

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ataque del ransomware Knight: Empresas y sanidad en el punto de mira

Wajahat Raja

18 de junio de 2024 - Equipo de expertos TuxCare

A aparición reciente en el panorama de la ciberdelincuencia tiene que ver con una cepa de ransomware conocida como RansomHub, que ha aparecido como sucesora del famoso ataque de ransomware ataque de ransomware Knight. Inicialmente identificado como Cyclops 2.0, el ransomware Knight ganó infamia por sus tácticas de doble extorsión, dirigidas a diversas plataformas como Windows, Linux, macOS, ESXi y Android desde su debut en mayo de 2023.

 

Evolución y tácticas del ataque de ransomware Knight


Inicialmente reconocido como Knight ransomware, también conocido como Cyclops 2.0, este software malicioso apareció por primera vez en mayo de 2023. Funciona en una amplia gama de plataformas, como Windows, Linux, macOS, ESXi y Android. A diferencia del ransomware tradicional, que simplemente cifra los datos para extorsionar, Knight introdujo tácticas de doble extorsión. Este enfoque implica no solo el cifrado de datos, sino también la filtración de información confidencial para presionar aún más a las víctimas para que paguen el rescate.


Detalles operativos y distribución


La distribución de Knight y posteriormente de RansomHub se ha facilitado en gran medida a través de campañas de phishing y
campañas de spear-phishing. Consisten en el envío de correos electrónicos fraudulentos con archivos adjuntos maliciosos a destinatarios desprevenidos. Estas tácticas aprovechan los errores humanos y las vulnerabilidades de los sistemas para obtener el acceso inicial.


Transición a RansomHub


La evolución a RansomHub se produjo cuando el original
ransomware como servicio (RaaS) detrás de Knight cesó en febrero de 2024. Entonces se vendió el código fuente, que probablemente pasó a manos de nuevos operadores que lo rebautizaron con el nombre de RansomHub.

Esta transición ha hecho que RansomHub se dirija rápidamente a empresas y entidades sanitarias de todo el mundo, lo que pone de manifiesto su importante impacto operativo. Las estrategias de recuperación de ransomware son cruciales para mitigar el impacto de los ciberataques.

 

Conocimientos técnicos y capacidades


Ambos
Knight ransomware y RansomHub están codificados en Go y utilizan sofisticadas técnicas de ofuscación como Gobfuscate para eludir la detección. Comparten similitudes en sus interfaces de línea de comandos y métodos de entrega de notas de rescate, lo que indica un alto grado de solapamiento en sus estrategias operativas.

Una adición notable en RansomHub es la opción "dormir", que retrasa su ejecución durante un período de tiempo especificado, complicando potencialmente los esfuerzos de detección y respuesta. Esta característica coincide con lo observado en otras familias de ransomware, como Chaos/Yashma y Trigona.

 

Ciberataque a la sanidad


Proteger los datos empresariales
Informes recientes han vinculado a RansomHub con ataques a organizaciones importantes como Change Healthcare, Christie's y Frontier Communications. Estos incidentes ponen de manifiesto que el ransomware ataca indiscriminadamente a empresas de todo el mundo y al sector sanitario, donde la protección de los datos y la continuidad de las operaciones están especialmente en juego.


Reclutamiento de afiliados y escala operativa


En un esfuerzo por ampliar su alcance, RansomHub ha reclutado activamente a afiliados de otros grupos de ransomware disueltos. Esto incluye a individuos anteriormente asociados a grupos como LockBit y BlackCat, lo que pone de relieve las alianzas estratégicas dentro del ecosistema de la ciberdelincuencia.


Prevención de ataques de ransomware


El resurgimiento del
ataque de ransomware Knight en los últimos años refleja una tendencia más amplia hacia ciberamenazas cada vez más sofisticadas. La proliferación de nuevas variantes como BlackSuit, Fog y ShrinkLocker demuestra la adaptabilidad y la evolución de las tácticas de los ciberdelincuentes.

Estas variantes a menudo aprovechan técnicas avanzadas como la explotación de vulnerabilidades de seguridad conocidas para obtener el acceso inicial, lo que subraya la importancia de contar con medidas de ciberseguridad sólidas y parches oportunos. La protección contra el ransomware de Knight es esencial para salvaguardar la información sensible.


Conclusión


A medida que el ransomware sigue evolucionando y proliferando, las organizaciones deben permanecer vigilantes frente a las nuevas amenazas.
amenazas de ransomware como RansomHub. Al mantenerse informadas sobre la evolución de las tácticas y adoptar protocolos integrales de ciberseguridad, las empresas pueden mitigar los riesgos y salvaguardar sus operaciones de ataques de ransomware potencialmente devastadores.

La defensa de las empresas contra el ransomware requiere medidas de ciberseguridad sólidas y estrategias proactivas. En conclusión, aunque la ciberseguridad en la sanidad evoluciona con nuevas amenazas, las medidas proactivas y la concienciación siguen siendo cruciales para defenderse del ransomware y otras actividades maliciosas.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

Resumen
Ataque del ransomware Knight: Empresas y sanidad en el punto de mira
Nombre del artículo
Ataque del ransomware Knight: Empresas y sanidad en el punto de mira
Descripción
Descubra por qué las empresas de todo el mundo y los sectores sanitarios son los principales objetivos de los ataques de ransomware de Knight. Conozca sus tácticas y su impacto.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín