Los ataques de ransomware muestran pocas señales de desaceleración en 2021



Los atacantes tienen poca motivación para detenerse cuando las empresas pagan rescates cada vez mayores, dicen los expertos en seguridad que prevén un aumento de los ataques.

Los expertos en seguridad ven pocas posibilidades de que los ataques de ransomware se desaceleren en 2021 dado el éxito continuo y creciente que los grupos criminales han tenido al extorsionar rescates considerables a las víctimas este año.

En todo caso, los ataques solo empeorarán cualitativamente a medida que los grupos delictivos se vuelvan más organizados y específicos en sus campañas, y las herramientas de ransomware sean más fáciles de obtener e implementar.

Muchos expertos esperan un fuerte aumento de los ataques de ransomware que implican la amenaza de exposición de datos y, en consecuencia, posibles problemas de cumplimiento normativo para las organizaciones víctimas. Las empresas que están dispuestas a pagar para que sus sistemas vuelvan a estar en línea también es possible que se enfrenten a un escrutinio más detenido por parte del gobierno de EE. UU., Debido a las preocupaciones de que los fondos de rescate terminen en manos de entidades en las listas de sanciones de EE.

«Si 2020 fuera un buen año para cualquiera, los operadores de ransomware ciertamente estarían en la parte remarkable de la lista», dice Ricardo Villadiego, director ejecutivo de Lumu. En los últimos 12 meses, más empresas que nunca han negociado y pagado rescates para recuperar sus datos, a pesar de la fuerte orientación del FBI de no hacerlo, dice. Al mismo tiempo, agrega, el tamaño de los rescates que exigen los atacantes ha aumentado drásticamente, y las cantidades que superan los $ 10 millones se han vuelto bastante rutinarias.

Como ejemplos, Villadiego señala una demanda de rescate de $ 14 millones reportada que la empresa brasileña Mild SA enfrentó luego de un ataque a sus sistemas a principios de este año, y una demanda de $ 15 millones que Telecom Argentina tuvo que lidiar con una situación comparable.

«Ambos rescates fueron originalmente la mitad de esa cantidad y automáticamente se duplicaron después de tres días hábiles», dice. Si bien no está claro si alguna de las entidades pagó el rescate, el tamaño de estas demandas muestra cómo las organizaciones criminales detrás de estos ataques han comenzado a perseguir el gran juego, señala Villadiego. Muchos grupos detrás de los ataques de ransomware han comenzado a parecerse a entidades corporativas convencionales, ofreciendo de todo, desde servicios de ransomware por suscripción hasta modelos de venta de afiliados para ampliar su alcance.

IBM informa que uno de cada cuatro ataques remediados por su equipo de respuesta a incidentes de X-Power, en septiembre de 2020, estaban relacionados con ransomware. Algunos ataques involucraron demandas de rescate de más de $ 40 millones. Las escuelas y universidades se convirtieron en objetivos de ransomware especialmente populares este año: el cambio a entornos híbridos y de aprendizaje a distancia como resultado de la pandemia COVID-19 ha aumentado su exposición a los ciberataques.

Uno de cada tres ataques de ransomware que IBM remedia en 2020 involucró a Sodinokibi, una familia de ransomware que reemplazó a GandCrab de 2019 como la cepa de ransomware más prolífica. El análisis de IBM mostró que los operadores de Sodinokibi consideran los ingresos de la organización víctima al determinar la demanda de rescate, con solicitudes promedio que oscilan entre el ,08% y el 9,1% de los ingresos anuales de una empresa. El treinta y seis por ciento de las víctimas de Sodinokibi pagaron un rescate a cambio de la devolución de sus datos.

Mientras tanto, un encargado de Sophos encuesta de 5.000 administradores de TI liberados en mayo revelaron que el 26% de las víctimas de ransomware pagaron a sus atacantes durante el año pasado. Más de la mitad (51%) de las organizaciones representadas en la encuesta informaron un ataque de ransomware en los últimos 12 meses. Aunque este número es ligeramente menor que el 54% que informó un ataque hace dos años, Sophos descubrió que los incidentes de ransomware se volvieron más graves este año. Muchos de los reportados fueron ataques basados ​​en servidor que requirieron más esfuerzo para implementar y buscaron cifrar activos críticos para el negocio de alto valor.

Una perspectiva sombría

«Mientras se sigan realizando pagos de extorsión y los ciberdelincuentes sigan beneficiándose de estos esquemas, los ataques de ransomware dirigidos que utilizan el método de pago o recepción probablemente continuarán hasta más allá de 2021», dice Kacey Clark, investigadora de amenazas en Sombras digitales.

Si bien no ha habido ningún evento de ransomware world wide al nivel de WannaCry o NotPetya de 2017, los ataques se han vuelto más específicos, dice Clark. En 2019, las pequeñas y medianas entidades gubernamentales y del sector público se llevaron la peor parte de los ataques de ransomware. Este año, las más afectadas fueron las organizaciones del sector de tecnología, salud, servicios financieros y bienes y servicios industriales, señala.

Clark, al igual que otros, espera que los ataques de ransomware que amenazan la exposición de datos se vuelvan más populares el próximo año. «En diciembre de 2019, los ciberdelincuentes comenzaron a extorsionar aún más a las víctimas de ransomware exfiltrando el contenido del sistema antes de encriptar los sistemas, y luego amenazaron con filtrar los datos robados en una plataforma pública hasta que la organización pagara el rescate», dice Clark. «Este método ha ganado fuerza y, en última instancia, se convirtió en la tendencia de ransomware más destacada de 2020».

Alrededor del 80% de los informes de inteligencia específicos de ransomware de Digital Shadows en el segundo trimestre de 2020 se asociaron con tres de estas plataformas: Dopple Leaks estaba vinculado al ransomware DoppelPaymer, Happy Website estaba vinculado a Sodinokibi y Maze Information estaba relacionado con la familia de ransomware Maze.

Los servicios de protocolo de escritorio remoto (RDP) débilmente protegidos y los correos electrónicos de phishing con archivos adjuntos armados continúan siendo los vectores de ataque e infección de ransomware más comunes. Pero a diferencia de los ataques masivos de &#39rociar y rezar&#39 del pasado, los actores de amenazas han comenzado a esforzarse más para permanecer sin ser detectados en una red violada después de obtener la entrada inicial, señala Villadiego.

«Es de esperar que los operadores de ransomware busquen extender su tiempo de permanencia dentro de la red», dice.

Los atacantes buscan cada vez más oportunidades para escalar privilegios mientras trabajan para identificar cachés de documentos confidenciales y otros activos que podrían explotarse aún más, dice Villadiego. «Esta es probablemente la razón por la que está viendo una creciente demanda en los foros de ciberdelincuencia de subcontratistas con experiencia en el uso de marcos posteriores a la explotación y herramientas de pentesting de Crimson Staff como Cobalt Strike «, dice.

Hank Schless, gerente senior de soluciones de seguridad de Lookout, dice que las organizaciones también deberían esperar ver más ransomware dirigido a dispositivos móviles en el próximo año. Los ataques de superposición de pantalla, en los que los actores de amenazas esencialmente inutilizan un dispositivo móvil, surgieron como un nuevo tipo de amenaza en 2020.

«De cara al 2021, el ransomware móvil seguirá siendo más avanzado», predice. «Los actores de amenazas están invirtiendo importantes recursos en la capacidad del ransomware móvil para ser eficaz durante mucho tiempo».

La gran mayoría de todas las infecciones de ransomware continúan siendo el resultado de sistemas sin parches, la reutilización desenfrenada de contraseñas o la falta de autenticación multifactor, dice Anthony Grenga, vicepresidente de operaciones cibernéticas de IronNet..

Al emplear las mejores prácticas básicas contra estos problemas, las organizaciones pueden hacer las cosas mucho más difíciles para los atacantes y protegerse contra compromisos a gran escala. «También es importante planificar para lo peor y tener copias de seguridad periódicas para los sistemas críticos y aislarlos de la crimson corporativa principal para que no se vean comprometidos en un ataque generalizado», dice Grenga.

Clark advierte que las organizaciones priorizan la aplicación de parches en función del impacto que tiene una vulnerabilidad individual en los datos corporativos. Como parte del ejercicio, deben considerar el tipo y la cantidad de sistemas afectados, el nivel de acceso requerido para explotar la vulnerabilidad y qué tan ampliamente conocida es la vulnerabilidad. Además, las empresas deberían considerar implementar un programa sólido de concientización sobre seguridad para capacitar a los empleados en el reconocimiento y la denuncia de intentos de phishing, dice Clark.

«Espero que los operadores de ransomware continúen perfeccionando aquellas estrategias que ya han demostrado ser efectivas», dice Villadiego. «Esto significa que deberíamos anticiparnos a ver ataques más dirigidos a las grandes empresas que tienen más en juego en términos de reputación de marca y el mayor potencial de interrupción operativa».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique