El ransomware es una de las amenazas más frecuentes y profundas a las que se enfrentan las organizaciones de todos los tamaños hoy en día, con ataques que pueden ser literalmente incapacitantes para las operaciones empresariales. Lo que a menudo comienza con un simple clic en un correo electrónico o un enlace discreto puede dar lugar a un cierre total de las operaciones hasta que se pague un rescate. Y la disponibilidad de una moneda digital como los Bitcoins hace que los ciberdelincuentes puedan cobrar los rescates de forma rápida y sencilla.
El año pasado, sólo en Estados Unidos se registraron más de 65.000 ataques de ransomware. El reciente ataque a Colonial Pipeline generó pánico entre los ciudadanos estadounidenses, que vaciaron la mayoría de las gasolineras del sureste. Un ataque separado a la empresa de procesamiento de carne JBS USA Holdings, Inc. desencadenó entonces el temor a una escasez de suministro de carne de vacuno en el país. Tras estas acciones, el gobierno estadounidense ha propuesto nuevos esfuerzos para combatir el ransomware, que también fue un tema candente en la Cumbre de Líderes del G7 de 2021.
Dicho esto, muchas organizaciones siguen sin estar preparadas para un ataque de ransomware. Sólo el 13% de los expertos en TI encuestados por el Instituto Ponemon afirmaron que sus organizaciones pueden prevenir el ransomware. Y más del 68% se considera «vulnerable» o «muy vulnerable» a un ataque de este tipo.
Principales tendencias observadas por los investigadores de Proofpoint
Estos ataques perjudican a las comunidades locales. Pueden dejar a las víctimas fuera de juego, obligar a los hospitales a rechazar pacientes e impedir el acceso a servicios públicos fundamentales. Estos ataques dirigidos, con sus actividades perturbadoras, sus elevados pagos y la colaboración entre ecosistemas de ciberdelincuentes, han dado lugar a una tormenta perfecta de ciberdelincuencia que se ha convertido en un problema de seguridad nacional, así como en un riesgo que los CISO y los consejos de administración se están tomando en serio.
Aunque cada ataque de ransomware es único, los analistas de Proofpoint Threat Research han observado tendencias comunes en relación con los ataques de alto perfil registrados el año pasado.
El ransomware se entrega como una carga útil de varias etapas. Lo que muchos conocían como un ataque de ransomware de una sola etapa que encriptaba máquinas individuales para obtener pequeños rescates ha evolucionado hacia cargas útiles más elaboradas de varias etapas. De hecho, Proofpoint Threat Research ha observado que los brokers de acceso inicial comprometen a las víctimas con la carga útil inicial, que es un descargador de malware como The Trick, Dridex o Buer Loader. Los intermediarios de acceso inicial venden luego su acceso a los operadores de ransomware.
El ransomware es supervisado y entregado operado por humanos. También se ha producido un cambio en el modelo automatizado de «rociar y rezar» que prevaleció en 2017 con ransomware como Locky, a un enfoque de ransomware más práctico, operado por humanos. Los operadores de ransomware actuales suelen llevar a cabo actividades de vigilancia para identificar objetivos de alto valor y determinar qué máquinas son más vulnerables y quiénes son más propensos a pagar un rescate.
Menos volumen, más cebo dirigido a los mercados más prometedores. Los creadores de ransomware también han cambiado a un enfoque de «gran caza».
Se centran menos en el volumen para dirigirse más eficazmente a los mercados más grandes y prometedores, en particular los que tienen implicaciones críticas en caso de interrupción de la actividad durante períodos prolongados. Según el último informe del IC3 del FBI, los últimos ataques «han sido más selectivos y sofisticados» que los anteriores oportunistas. Los actores del ransomware también exfiltran datos y amenazan con exponerlos para una doble extorsión.
Vulnerabilidades que proporcionan puntos de entrada comunes. El correo electrónico desempeña un papel fundamental en la distribución de ransomware, especialmente entre las grandes organizaciones. Otros vectores de ataque, como las vulnerabilidades y desconfiguraciones del protocolo de escritorio remoto (RDP) y de la red privada virtual (VPN), son puntos de entrada habituales para los atacantes. Los protocolos de trabajo desde casa debido a la pandemia de COVID-19 también han contribuido probablemente a un aumento de los ataques, permitiendo a los atacantes utilizar vectores de ataque que antes no existían.
CambioDigital OnLine