Las víctimas de 'ransomware' aumentan a medida que los atacantes apuntan a vulnerabilidades ‘zero day’
Los grupos de ransomware también están dando prioridad a la exfiltración de archivos, que se ha convertido en la principal fuente de extorsión.
El uso de vulnerabilidades de día cero y de un día ha llevado a un aumento del 143% en el total de víctimas de ransomware entre el primer trimestre de 2022 y el primer trimestre de 2023, según una nueva investigación del proveedor de seguridad en la nube Akamai. El informe Ransomware on the Move: Exploitation Techniques and the Active Pursuit of Zero-Days de la empresa, basado en los hallazgos recopilados de los sitios de fuga de aproximadamente 90 grupos diferentes de ransomware, describe las tácticas en evolución de los actores de amenazas de ransomware.
Además de destacar un crecimiento considerable en el abuso de vulnerabilidades, el informe también encontró que los grupos de ransomware se centran cada vez más en la exfiltración de archivos, la extracción o transferencia no autorizada de información confidencial, que se ha convertido en la principal fuente de extorsión. Además, las víctimas de múltiples ataques de ransomware tienen casi seis veces más probabilidades de experimentar un segundo ataque dentro de los tres meses posteriores al primero, y las organizaciones más pequeñas tienen un mayor riesgo de ser atacadas a través de este método en general, según el informe.
El ransomware sigue siendo una de las amenazas de ataque más grandes y peligrosas que enfrentan las organizaciones. Durante el segundo trimestre de 2023, el equipo de respuesta a incidentes (IR) de Cisco Talos respondió a la mayor cantidad de interacciones con ransomware en más de un año. Del mismo modo, el último informe ReliaQuest Ransomware & Data-Leak Extortion reveló un gran aumento en la actividad de ransomware en el segundo trimestre. Este trimestre estableció el récord de la mayor cantidad de víctimas jamás registradas en los sitios de fuga de datos de ransomware, un aumento de 540 víctimas en comparación con el trimestre anterior, según la investigación.
Los grupos de ransomware pasan a la explotación de día cero
Los grupos de ransomware están cambiando sus técnicas de ataque de phishing a poner un mayor énfasis en el abuso de vulnerabilidades, que ha crecido considerablemente tanto en alcance como en sofisticación, destaca el documento. Los grupos también se han vuelto más agresivos en sus métodos de explotación de vulnerabilidades y se ha observado una evidencia de una creciente disposición a pagar por la oportunidad de explotar vulnerabilidades, ya sea para pagar a otros piratas informáticos para encontrar vulnerabilidades que puedan usarse en ataques o para adquirir acceso a sus objetivos previstos a través de intermediarios de acceso inicial (IAB).
Aunque aprovechar las vulnerabilidades de día cero no es nuevo. El conocido grupo de ransomware CL0P ha demostrado recientemente una búsqueda agresiva para lograr y desarrollar vulnerabilidades de día cero internamente, según el informe. Esta ha demostrado ser una estrategia exitosa, con CL0P multiplicando por nueve su número de víctimas en 12 meses.
LockBit domina el panorama de ataques de ransomware
LockBit domina el panorama de los ataques de ransomware con el 39% del total de víctimas (1.091 víctimas). Eso es más del triple del número del segundo grupo de ransomware mejor clasificado, ALPHV (Blackcat). LockBit ha aumentado significativamente en ausencia del favorito anterior, Conti, según el informe. Su éxito se debe a sus mejoras, incluida la introducción de técnicas novedosas en su última versión 3.0, como un programa de recompensas por errores y el uso de la criptomoneda Zcash como modo de pago.
Para ejercer más presión sobre sus víctimas, los atacantes detrás de LockBit comenzaron a comunicarse con los clientes de la víctima, informándoles sobre el incidente y empleando tácticas de triple extorsión con la inclusión de ataques distribuidos de denegación de servicio (DDoS), descubrió Akamai.
Los grupos de ransomware priorizan la exfiltración de archivos
Los grupos de ransomware apuntan cada vez más a la exfiltración de archivos, la principal fuente de extorsión, como se vio con la reciente explotación de GoAnywhere y MOVEit. Los atacantes intentan maximizar su daño mientras minimizan y modernizan sus esfuerzos, empleando muchas tácticas de extorsión diferentes para intimidar a sus víctimas para que paguen las demandas de rescate. Los atacantes están encontrando más éxito en la extorsión de robo de datos en lugar de simplemente encriptar los archivos de su objetivo previsto. Esto subraya el hecho de que las soluciones de copia de seguridad de archivos, aunque son efectivas contra el cifrado de archivos, ya no son una estrategia suficiente, afirmó Akamai.
Las víctimas de ransomware pueden enfrentarse rápidamente a ataques posteriores
Una víctima de ransomware, las organizaciones enfrentan un mayor riesgo de un segundo ataque poco después, según el informe de Akamai. De hecho, las víctimas atacadas por múltiples grupos de ransomware tienen casi seis veces más probabilidades de experimentar un ataque posterior dentro de los primeros tres meses que después de que haya pasado más tiempo, dijo. Mientras que una empresa víctima se distrae remediando el ataque inicial, otros grupos de ransomware, probablemente buscando objetivos potenciales y monitoreando las actividades de sus competidores, también pueden aprovechar esta ventana de oportunidad y atacar a la misma empresa, afirmó la firma.
Ser atacado una vez y pagar el rescate tampoco garantiza la seguridad de una organización; más bien, aumenta la probabilidad de ser atacado nuevamente por el mismo grupo o varios grupos, advirtió Akamai. Si la organización víctima no ha cerrado las brechas en su perímetro o remediado las vulnerabilidades de las que abusaron los atacantes para violar sus redes la primera vez, es probable que se vuelvan a utilizar. Además, si la víctima elige cumplir con las demandas de rescate, entonces pueden ser vistos como objetivos potenciales por el mismo grupo y otros.
Organizaciones más pequeñas con mayor riesgo
El tamaño de la organización y los ingresos también juegan un papel en las tendencias actuales de los ataques de ransomware, según el informe. Existe la suposición de que las empresas más grandes con mayores ingresos tienen más probabilidades de ser objetivo que otras organizaciones porque presentan una mayor rentabilidad y, por lo tanto, un objetivo más atractivo. Sin embargo, el análisis de Akamai de las víctimas por ingresos ilustró una imagen diferente. Las empresas con ingresos de hasta 50 millones de dólares eran las que corrían mayor riesgo de ser atacadas (65%), mientras que las organizaciones con ingresos superiores a 500 millones de dólares representaban solo el 12% del total de víctimas, decía.
Akamai supuso que las empresas con ingresos más bajos son más vulnerables a los ataques porque su entorno es más fácil de infiltrar, con recursos de seguridad limitados para combatir los peligros del ransomware. Al mismo tiempo, tienen la capacidad de pagar el rescate para evitar la interrupción del negocio y la posible pérdida de ingresos.
Aumentan ataques a servicios financieros
El informe nombra al sector de producción como vertical con la mayoría de las organizaciones víctimas (20%) afectadas por ataques de ransomware, seguida de los servicios empresariales (11%) y el comercio minorista (9%). Sin embargo, las organizaciones de servicios financieros vieron un aumento del 50% en el número total de empresas afectadas año tras año. Si bien estos hallazgos no indican necesariamente que la fabricación experimente más ataques que otras industrias, los atacantes claramente están teniendo éxito al apuntar a esta industria. Mientras tanto, el hecho de que los servicios empresariales ocupen el segundo lugar en la lista de víctimas de ransomware subraya el potencial de ataques a la cadena de suministro.
La mitigación del ransomware debe ser tan multifacética como los ataques
Los ataques de ransomware de hoy son multifacéticos, incluidas numerosas etapas y tácticas. Por lo tanto, la prevención y la mitigación del ransomware deben abarcar varios enfoques y productos diferentes, según Akamai. Para mitigar la amenaza del ransomware de manera efectiva, las organizaciones deben:
Adoptar un enfoque de varias capas para la ciberseguridad para abordar las amenazas en las diferentes etapas del ataque y en varios entornos de amenazas.
Emplear el mapeo y la segmentación de la red para identificar y aislar los sistemas críticos y limitar el acceso a la red hacia y desde esos sistemas. Esto limita el movimiento lateral de cualquier malware en caso de que se produzca una infracción.
Mantener todo el software, el firmware y los sistemas operativos actualizados con los parches de seguridad más recientes. Esto ayuda a mitigar las vulnerabilidades conocidas que puede explotar el ransomware.
Mantener copias de seguridad fuera de línea regulares de datos críticos y establezca un plan efectivo de recuperación ante desastres. Esto garantiza la capacidad de restaurar operaciones rápidamente y minimizar el impacto de un incidente de ransomware.
Desarrollar y pruebar regularmente un plan de respuesta a incidentes que describa los pasos a seguir en caso de un ataque de ransomware. Este plan debe incluir canales de comunicación claros, roles y responsabilidades, y un proceso para involucrar a expertos en seguridad cibernética y aplicación de la ley.
Realizar capacitaciones periódicas de concientización sobre seguridad cibernética para educar a los empleados sobre los ataques de phishing, la ingeniería social y otros vectores comunes utilizados por los actores de amenazas de ransomware. Se debe alentar a los empleados a reportar actividades sospechosas de inmediato. Esta capacitación debe extenderse a las políticas y procedimientos tanto para trabajar con proveedores que están físicamente en el sitio como para interactuar con los sistemas de la empresa de forma remota. También se debe exigir a todos los vendedores y proveedores que realicen esta capacitación antes de acceder a sitios o sistemas.
