Los ataques de ‘ransomware’ en Linux crecen un 75%

Durante el primer trimestre de 2022 gran parte de los trabajadores regresó a las oficinas tradicionales u optó por una transición hacia un modelo de trabajo híbrido que conjugaba lo presencial con lo remoto. Un hecho que contribuyó a que innumerables organizaciones tuvieran que redoblar esfuerzos y adaptarse al nuevo contexto para enfrentarse así a una superficie de ataque cada vez mayor.

En esta nueva normalidad, los equipos de seguridad han debido plantar cara a un verdadero desafío: defender todas las infraestructuras TI. Sin embargo, los desarrolladores de ransomware tampoco han permanecido impasibles y han optado por modelos  de monetización más lucrativos y eficientes. En concreto, explican desde Trend Micro, sobresale el modelo de ransomware como servicio (RaaS). Así, según el informe desarrollado por la compañía de ciberseguridad, Defending the Expanding Attack Surface. Trend Micro 2022 Midyear Cybersecurity Report, durante la primera mitad del año tres actores de amenazas RaaS destacaron por encima del resto: Conti, LockBit y BlackCat.

Descifrando las claves

La detección de ataques de ransomware como servicio se disparó en el primer semestre de 2022. Importantes actores como LockBit y Conti fueron detectados con un aumento del 500% interanual y casi duplicaron el número de detecciones en seis meses respectivamente. Asimismo, el modelo de ransomware como servicio ha generado importantes beneficios para los cibercriminales y sus afiliados, por lo que no es de extrañar que broten continuamente nuevos grupos de ransomware. El más notable en la primera mitad de 2022 fue Black Basta; y es que la organización atacó a 50 compañías en tan solo dos meses.

Según apunta el pliego, muchos ciberatacantes persisten en la caza de las grandes empresas, aunque las pymes son un objetivo cada vez más popular. En esta misma línea cabe destacar que uno de los principales vectores de ataque del ransomware es la explotación de vulnerabilidades. Una tendencia respaldada en cifras: la Zero Day Initiative de Trend Micro publicó avisos sobre 944 vulnerabilidades en este periodo, lo que se traduce en un aumento del 23% interanual. El número de avisos de errores críticos publicados se disparó en este sentido un 400% interanual.

El informe revela que los grupos APT siguen actualizando sus métodos a través de una infraestructura expansiva y combinando diversas herramientas de malware. El hecho de que el número de detecciones se haya multiplicado por diez es otra prueba de que los actores de amenazas están integrando cada vez más Emotet como parte de sus elaboradas operaciones de ciberdelincuencia. La preocupación radica en que los actores de amenazas son capaces de convertir en armas estos fallos más rápido de lo que los proveedores pueden publicar actualizaciones de parches y/o los clientes pueden parchearlos. Como consecuencia cabe decir que las vulnerabilidades sin parchear se suman a una creciente superficie de ataque digital que muchas organizaciones están luchando por gestionar de forma segura a medida que el lugar de trabajo híbrido amplía su entorno de TI. Más de dos quintas partes (43%) de las organizaciones globales creen que está “fuera de control”.

La visibilidad de la nube es especialmente importante dada la amenaza continua de que terceros exploten entornos mal configurados y utilicen técnicas novedosas como la minería de criptomonedas basada en la nube y la tunelización de la nube. Esta última es utilizada con frecuencia por los actores de amenazas para dirigir el tráfico de malware o alojar sitios web de phishing. Para hacer frente a este nuevo entorno, según infiere Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, “una plataforma única y unificada de ciberseguridad es el mejor lugar para comenzar”.