ClickCease Un traje negro real y el pirateo como servicio

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

La evolución de los paisajes de amenazas: A Royal BlackSuit y Hacking-as-a-Service

por Joao Correia

19 de junio de 2023 - Evangelista técnico

En el cambiante panorama de las amenazas a la ciberseguridad, los últimos datos apuntan a un cambio crucial en las estrategias adoptadas por los autores de las amenazas. Una novedad clave es la aparición de cepas de ransomware como BlackSuit y Royal, capaces de atacar varios sistemas operativos al mismo tiempo.

Exploremos más a fondo estas amenazas.

Antecedentes de BlackSuit y Royal

Tradicionalmente, debido a la amplia base instalada, los actores de amenazas han preferido los sistemas Windows. Sin embargo, la aparición de BlackSuit y Royal indica un cambio hacia objetivos más críticos.

En lugar de dirigirse predominantemente a dispositivos cliente que suelen contener un subconjunto menor de datos, los actores de amenazas están desarrollando ahora malware para apuntar a servidores de archivos, servidores de bases de datos y servidores web. Una gran parte de estos servidores funcionan con Linux, lo que implica que el daño potencial y la interrupción causados por tales ataques pueden ser sustanciales.

Aunque no se trata en absoluto del primer caso de malware dirigido a Linux, es relativamente infrecuente que una sola cepa de malware se dirija a más de un sistema operativo. La doble capacidad de ataque de BlackSuit y Royal marca una tendencia significativa que los CISO, CIO y responsables de TI deben tener en cuenta.

Ransomware como servicio (RaaS)

La notable similitud entre BlackSuit y Royal, que muestran un parecido funcional casi idéntico, sugiere una probable transferencia de conocimientos, intercambio tecnológico o colaboración entre diferentes actores de amenazas. Alternativamente, esto podría indicar la evolución de un único actor de amenazas que aumenta sus herramientas de trabajo.

Además, la banda Royal Ransomware, conocida por su agresivo enfoque contra las pequeñas y medianas empresas en Estados Unidos, así como contra entidades sanitarias, educativas y del sector público en todo el mundo, utiliza un modelo de ransomware como servicio (RaaS). En este modelo, el proveedor de ransomware aloja el malware, la infraestructura y el sistema de pago de rescates, proporcionando a los afiliados acceso al sistema. Los afiliados se encargan de infectar a las víctimas y extorsionarlas para que paguen. El proveedor de RaaS, a cambio, se lleva una parte de los beneficios, lo que permite a los ciberdelincuentes lanzar ataques con una menor inversión inicial y altos niveles de anonimato.

Hacking como servicio (HaaS)

La evolución del ecosistema del ransomware forma parte de una tendencia más amplia denominada hacking como servicio (HaaS). Este modelo reduce la barrera de entrada, lo que permite a personas con conocimientos básicos lanzar ataques complejos, como phishing y DDoS, con mayor frecuencia. Servicios como los kits de phishing y los paquetes DDoS disponibles en la web oscura facilitan ataques rápidos y extensos, y el aumento de los bots de IA con capacidad de codificación no hace sino agravar el problema.

Para mitigar los riesgos asociados a estos cambiantes panoramas de amenazas, las organizaciones necesitan actualizar proactivamente sus estrategias de ciberdefensa. La supervisión periódica de la web oscura, los dominios de phishing y las redes sociales puede ayudar a identificar amenazas potenciales en una fase temprana y permitir medidas de respuesta proactivas.

Reflexiones finales

A medida que el panorama de las ciberamenazas sigue evolucionando, la necesidad de estrategias de ciberdefensa completas y proactivas es cada vez más crucial. La aparición de ransomware dirigido a múltiples sistemas operativos y el crecimiento de HaaS ponen de manifiesto el constante cambio en este ámbito. Mantenerse informado de estas tendencias y adaptar las estrategias de ciberdefensa en consecuencia es vital para que las organizaciones salvaguarden sus sistemas y datos.

Una estrategia que las organizaciones pueden añadir a su cinturón de herramientas es la aplicación de parches en vivo. Se trata de un método automatizable y no disruptivo que permite a las organizaciones poner los parches en piloto automático, de modo que se despliegan en segundo plano mientras los sistemas están en funcionamiento, sin reinicios ni tiempos de inactividad.

Al aplicar los parches sin reiniciar, los parches CVE pueden desplegarse en cuanto están disponibles, de modo que su equipo no deja sus sistemas vulnerables durante más tiempo del necesario, lo que es típico de un enfoque de aplicación de parches convencional.

Obtenga más información sobre live patching aquí.

Resumen
La evolución de los paisajes de amenazas: A Royal BlackSuit y Hacking-as-a-Service
Nombre del artículo
La evolución de los paisajes de amenazas: A Royal BlackSuit y Hacking-as-a-Service
Descripción
Analicemos la aparición de variedades de ransomware como BlackSuit y Royal, capaces de atacar varios sistemas operativos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.