Los ataques de ransomware solo han aumentado en sofisticación y capacidades durante el año pasado. Desde nuevas técnicas de evasión y antianálisis hasta variantes más sigilosas codificadas en nuevos lenguajes, los grupos de ransomware han adaptado sus tácticas para eludir eficazmente las estrategias de defensa comunes.
Una empresa de inteligencia sobre amenazas cibernéticas reconocida por sus investigaciones y hallazgos, publicó recientemente su Informe de ransomware del tercer trimestre . Este artículo profundiza en los acontecimientos importantes del tercer trimestre de 2023, como se detalla en el Informe de ransomware del tercer trimestre, y ofrece predicciones para los próximos trimestres. El objetivo principal es proporcionar un resumen integral de los principales objetivos, tanto por sectores como por nación y región. Además, el artículo destacará las nuevas técnicas utilizadas, enfatizando los incidentes y desarrollos importantes que los objetivos potenciales deben conocer. También discutiremos las tendencias anticipadas en la evolución futura del ransomware.
La mayor utilización de vulnerabilidades como arma para entregar ransomware:
Han observado un aumento en los casos de vulnerabilidades utilizadas como vector para distribuir ransomware y otro malware en los últimos meses, con especial énfasis en los dispositivos de red. Esto marca un cambio con respecto al enfoque observado anteriormente en convertir en armas el software y las aplicaciones de Managed File Transfer (MFT).
Esto se observó en el impacto que tuvieron vulnerabilidades de alto impacto que llevaron al compromiso de titanes de la industria, como se observó en el caso de la vulnerabilidad MOVEit y el ataque a la cadena de suministro Barracuda Networks. Todos los indicios para el tercer trimestre y los meses muestran que los operadores de ransomware continuarán utilizando vulnerabilidades como armas y explotando los días cero para entregar cargas útiles de ransomware que comprometan sus objetivos.
Si bien los días cero son, por definición, desconocidos hasta que se explotan, las organizaciones pueden tomar medidas para garantizar que se minimice su vulnerabilidad a un día cero explotable. Las organizaciones también deben asegurarse de que el software y los productos que utilizan estén actualizados e implementar estrategias de concientización cibernética para garantizar que las vulnerabilidades potencialmente explotables se identifiquen y protejan de manera prioritaria.
Si bien este es un hallazgo importante al que hay que prestar atención, esta empresa descubrió varias otras tendencias en el espacio del ransomware a las que vale la pena prestar atención:
1. Cambio de enfoque sectorial: la industria sanitaria en el punto de mira.
Si bien en la primera mitad del año se produjo un aumento de los ataques de ransomware en el sector manufacturero, las tendencias recientes apuntan a un cambio de enfoque hacia el sector sanitario. Esto ha llevado a la atención médica a estar entre los cinco sectores más atacados por los grupos de ransomware, representando casi una cuarta parte de todos los ataques de ransomware. Estos ataques tienen un motivo específico: recopilar información médica protegida (PHI) y otros datos confidenciales a los que los proveedores e instituciones de atención médica tienen acceso y vender estos datos en la web oscura.
Según el informe de ransomware, el sector sanitario es particularmente vulnerable a los ataques de ransomware, ya que tiene una superficie de ataque extremadamente grande que abarca varios sitios web, portales, miles de millones de dispositivos médicos de IoT y una gran red de socios y proveedores de la cadena de suministro. Por lo tanto, es imperativo un plan de ciberseguridad estandarizado para este sector para mantener seguros estos datos críticos y garantizar el buen funcionamiento de las funciones sanitarias críticas.
2. Las organizaciones de altos ingresos siguen siendo el foco principal.
Los operadores de ransomware a menudo pueden parecer indiscriminados en lo que respecta a sus objetivos; sin embargo, es un hecho conocido que prefieren apuntar a organizaciones de altos ingresos que manejan datos confidenciales. Esto no sólo ayuda a mejorar el perfil del operador de ransomware como una amenaza grave, sino que también garantiza una mayor probabilidad de que se realicen pagos de ransomware.
La razón es doble: las organizaciones de altos ingresos tienen los medios para pagar los exorbitantes rescates exigidos, y también son más susceptibles a que su imagen se vea empañada por parecer incompetentes en el manejo de datos sensibles y conservar su reputación como empresa de renombre. .
Junto con la atención sanitaria, los sectores más atacados en el trimestre anterior fueron los servicios profesionales, TI e ITES y la construcción debido a su elevado patrimonio neto y a la ampliación de sus superficies de ataque.
3. Estados Unidos sigue siendo la nación más atacada.
Si bien varias tendencias en torno a las víctimas y las tácticas de ransomware han evolucionado trimestralmente, el patrón establecido de que Estados Unidos es la región más atacada por los operadores de ransomware es una constante. Esto se evidencia por el hecho de que solo en el tercer trimestre de 2023, Estados Unidos enfrentó más ataques de ransomware que los siguientes 10 países juntos .
El razonamiento de esto puede atribuirse al papel único de Estados Unidos al ser una nación altamente digitalizada con una enorme cantidad de compromiso y alcance global. Debido a factores geopolíticos, Estados Unidos también es un objetivo principal para los grupos hacktivistas que aprovechan el ransomware para lograr sus objetivos debido a la percepción de injusticia social o para protestar contra las políticas internas y externas.
En un distante segundo lugar, en términos de volumen de ataques de ransomware en el tercer trimestre, se ubicó el Reino Unido, seguido de Italia y Alemania.
4. LOCKBIT sigue siendo una amenaza potente, mientras que los grupos de ransomware más nuevos se están creando rápidamente un nombre.
Si bien los ataques totales de LOCKBIT fueron ligeramente inferiores a los del trimestre anterior ( una caída del 5% ), aún se dirigieron al mayor número de víctimas, con 240 víctimas confirmadas en el tercer trimestre de 2023 .
Sin embargo, los nuevos actores en la escena del ransomware no han estado inactivos. El tercer trimestre de 2023 fue testigo de un aumento en los ataques de grupos más nuevos como Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group y MedusaLocker, lo que indica que estos grupos, aunque no tienen el mismo perfil y presencia global que los principales actores como LOCKBIT. , siguen siendo amenazas potentes.
5. La creciente adopción de Rust y GoLang en variantes de ransomware más nuevas.
Los grupos de ransomware siempre han intentado que sus actividades sean más difíciles o incluso imposibles de detectar o analizar. Esto dificulta que las víctimas, los expertos en ciberseguridad y los gobiernos analicen y estudien el ransomware, su vector de infección y su modo de funcionamiento, tras lo cual se implementan las acciones correctivas correspondientes.
Sin embargo, los patrones recientes que hemos observado muestran la creciente popularidad de Rust y GoLang entre grupos de ransomware de alto perfil como Hive, Agenda, Luna y RansomExx. La razón de esto es, nuevamente, doble: los lenguajes de programación como Rust dificultan el análisis de la actividad del ransomware en el sistema víctima. Tienen el beneficio adicional de ser más fáciles de personalizar para apuntar a múltiples sistemas operativos, lo que aumenta la letalidad y la base de objetivos de cualquier ransomware creado utilizando estos lenguajes.
¿Cómo han reaccionado las organizaciones ante estos acontecimientos?
Cada ciclo de noticias parece contener al menos un incidente en el que una organización de alto perfil o un líder de la industria es víctima de Ransomware en algún momento, siendo las recientes infracciones del Caesar’s Palace y MGM Casino por parte de BlackCat/ALPHV Ransomware los principales ejemplos.
Esto incluso ha llamado la atención de organismos gubernamentales y reguladores de todo el mundo, que han implementado medidas para ayudar a mitigar el impacto y la incidencia de los ataques de ransomware. Las empresas también han tomado el asunto en sus propias manos implementando prácticas para prevenir el riesgo y mitigar el impacto de los ataques de ransomware. Algunos pasos notables que hemos observado son:
1. Énfasis en la formación de los empleados.
La fuerza laboral de una organización suele ser la primera línea de defensa contra cualquier ataque y el ransomware no es una excepción. En consecuencia, las empresas han intensificado sus programas de formación y concientización en ciberseguridad, implementando sesiones obligatorias de capacitación en ciberseguridad y fomentando una cultura de concientización cibernética. Los principales ejemplos de esto incluyen capacitación sobre cómo identificar intentos de phishing, manejar archivos adjuntos sospechosos e identificar intentos de ingeniería social.
2. Planificación de respuesta a incidentes.
A pesar de los esfuerzos por prevenirlos, los ataques de ransomware aún pueden ocurrir debido a varios factores. Las organizaciones han tenido en cuenta esto y han aumentado su enfoque en desarrollar una respuesta integral a tales incidentes. Estos incluyen protocolos legales para notificar a las autoridades, próximos pasos de seguridad interna, respuestas del equipo de seguridad de la información y poner en cuarentena cualquier sistema/producto afectado.
3. Recuperación y copias de seguridad mejoradas.
Los ataques de ransomware tienen dos objetivos principales: obtener acceso a datos confidenciales y cifrarlos para inutilizarlos para las organizaciones objetivo. Para abordar este riesgo, las organizaciones han comenzado a centrarse más en realizar copias de seguridad de datos confidenciales y crear procesos de recuperación integrales para los mismos.
4. Implementación de arquitectura Zero-Trust y autenticación multifactor.
Los grupos de ransomware han explotado previamente el elemento humano para habilitar o mejorar los ataques de ransomware a través de agentes de acceso inicial, ataques de phishing, etc. Como respuesta, las empresas han implementado Zero-Trust Architecture y MFA en todas las plataformas y datos críticos, lo que requiere múltiples niveles verificados de autenticación. para otorgar acceso a datos confidenciales.
5. Intercambio de inteligencia y colaboración con las fuerzas del orden.
Las organizaciones de las mismas industrias han creado Centros de análisis e intercambio de información (ISAC) para ayudar a agrupar sus recursos e información para ayudar a combatir futuros intentos de ransomware. También están trabajando estrechamente con las fuerzas del orden y los organismos reguladores para informar intentos de ransomware y ayudar a diagnosticar deficiencias de seguridad.
6. Mayor adopción/uso de plataformas de inteligencia sobre amenazas.
Debido a su competencia específica en este espacio, así como a sus capacidades avanzadas de inteligencia artificial y aprendizaje automático, las organizaciones utilizan cada vez más las plataformas de inteligencia de amenazas por su experiencia, detección de anomalías y análisis de comportamiento para obtener inteligencia de amenazas en tiempo real para ayudar a mitigar los ataques de ransomware.
7. Centrarse en la gestión de vulnerabilidades.
Las vulnerabilidades han pasado a primer plano en los últimos años en incidentes importantes, como las recientes vulnerabilidades MoveIT y PaperCut que permiten exploits y ciberataques. En consecuencia, las organizaciones han implementado protocolos y gestión de vulnerabilidades para garantizar que todo el software crítico esté actualizado y parcheado periódicamente.
8. Asegurar las cadenas de suministro y la gestión de riesgos de los proveedores.
En el caso de que un operador de ransomware no pueda violar una organización, no es raro que apunte a su cadena de suministro a través de proveedores, socios y terceros que pueden no ser tan ciberseguros. En consecuencia, las organizaciones han implementado evaluaciones de riesgos de los proveedores para garantizar que toda su cadena de suministro sea hermética y esté protegida de manera uniforme contra posibles intentos de ransomware.
Fuente y redacción: thehackernews.com
