El crecimiento alarmante del ransomware señala una nueva period, encuentra Verizon DBIR



El año pasado se vio una aceleración asombrosa en los incidentes de ransomware, con un 25 % de todas las infracciones que contenían un componente de ransomware.

Ese es el hallazgo de primera línea en el Informe de investigaciones de violación de datos de Verizon (DBIR) de 2022, que encontró que los eventos de ransomware junto con las violaciones aumentaron un 13 % el año pasado el informe del año pasado encontró que solo el 12 % de los incidentes estaban relacionados con ransomware. Eso se traduce en una tasa de aumento exceptional a los cinco años anteriores de crecimiento combinados.

El 15º DBIR anual analizado 23.896 incidentes de seguridad, de los cuales 5.212 fueron incumplimientos confirmados. Según Verizon, aproximadamente cuatro de cada cinco de ellos fueron obra de bandas de ciberdelincuentes externos y grupos de amenazas. Y según Alex Pinto, gerente del equipo de investigación de seguridad de Verizon, a estos tipos nefastos les resulta cada vez más fácil ganarse la vida con ransomware, lo que hace que otros tipos de infracciones sean cada vez más obsoletos.

«Todo en el cibercrimen se ha vuelto tan mercantilizado, tanto como un negocio ahora, y es una metodología demasiado eficiente para monetizar su actividad», le dice a Darkish Reading, y señala que con la aparición del ransomware como servicio (RaaS ) y corredores de acceso inicial, se necesita muy poca habilidad o esfuerzo para entrar en el juego de la extorsión.

«Antes, tenías que entrar de alguna manera, mirar alrededor y encontrar algo que valiera la pena robar y que tuviera un revendedor del otro lado», explica. «En 2008, cuando iniciamos el DBIR, lo que se robaba eran los datos de las tarjetas de pago. Ahora, eso se ha reducido drásticamente porque solo pueden pagar por el acceso que alguien más estableció e instalar el ransomware alquilado, y es mucho más fácil de alcanzar». el mismo objetivo de conseguir dinero».

Un corolario de esta historia es que todas y cada una de las organizaciones son un objetivo: las empresas ya no necesitan tener algo que valga la pena robar en forma de datos altamente confidenciales para caer en la mira del ciberdelito. Eso significa que las organizaciones pequeñas y medianas deben tener cuidado, dijo Pinto, así como las organizaciones muy pequeñas y familiares.

«Ya no tienes que ir por los grandes», dijo Pinto. «De hecho, elegir a los grandes podría ser contraproducente porque esas personas generalmente tienen sus patos más ordenados en lo que respecta a las defensas. Si una empresa tiene un puñado de computadoras y se preocupan por sus datos, potencialmente vas a hacer unos cuantos dólares de ellos».

Puesto en un contexto diferente, el DBIR descubrió que alrededor del 40 % de las violaciones de datos se deben a la instalación de malware, dijo (a lo que Verizon se refiere como intrusiones del sistema), y el aumento de RaaS ha llevado al 55 % de esas violaciones específicas. incidentes relacionados con ransomware.

«Nuestra preocupación es que realmente no hay techo aquí», dice Pinto. «Creo que ya no estamos convencidos de que vaya a detenerse, a menos que a alguien se le ocurra algo que sea aún más eficiente. No puedo imaginar qué sería, pero tal vez es por eso que no estoy en el negocio del crimen organizado».

El efecto de los vientos solares

Las consecuencias del infame hackeo de la cadena de suministro de SolarWinds se extendieron a lo largo del año, con el vector de «actualizaciones de program» que llevó a la categoría de «violación de socios» a ser responsable del 62 % de los incidentes de intrusión en el sistema (incluido el ransomware). incidentes), y eso es mucho, mucho más, desde un insignificante 1% en 2020.

Pinto señaló que a pesar de los titulares y el interés en incidentes como SolarWinds (y otros, como los ataques de ransomware relacionados con Kaseya), lidiar con las infracciones en la cadena de suministro no requiere una revisión operativa para la mayoría de las empresas.

«Protegerse contra las consecuencias de una brecha en la cadena de suministro si usted fuera uno de los clientes afectados no es tan diferente de protegerse contra varios otros tipos de malware, porque sus servidores están apuntando a un lugar donde no deberían estar. Si usted es un CISO, las técnicas que united states deben ser bastante similares a las que ya usa porque, francamente, tratar de perseguir a cada proveedor de computer software que tiene para tratar de hacerlos seguros lo volverá loco. Es un gran esfuerzo».

Por dónde empezar en la defensa contra ransomware

Al examinar las rutas de entrada para las infracciones, Pinto señaló que los ataques pueden reducirse de manera confiable a cuatro vías diferentes (y familiares): el uso de credenciales robadas ingeniería social y phishing explota vulnerabilidades y el uso de malware.

«Lo único que debe hacer cuando cierra este informe es mirar esas cuatro cosas en su entorno y qué controles tiene para ellas», dice Pinto.

Cuando se trata de infracciones relacionadas con ransomware en individual, el 40 % de los incidentes analizados involucraron el uso de software package para compartir escritorio, como el Protocolo de escritorio remoto. Y el 35% implicó el uso de correo electrónico (phishing, en su mayoría).

«Bloquear su infraestructura orientada al exterior, especialmente RDP y correos electrónicos, puede contribuir en gran medida a proteger su organización contra el ransomware», dice Pinto.

Vale la pena señalar que, en common, el 82 % de todas las infracciones analizadas por Verizon se basó en errores humanos (configuraciones incorrectas, por ejemplo, que representan el 13 % de las infracciones) o interacción (phishing, ingeniería social o credenciales robadas). Artur Kane, vicepresidente de producto de GoodAccess, dice que esto indica algunas prácticas recomendadas para observar.

En primer lugar, están las soluciones técnicas, como requerir la autenticación multifactor (MFA) y la segmentación de la red por privilegios de acceso, junto con la implementación de la capacidad de detección de amenazas en tiempo authentic, el mantenimiento de registros de acceso continuos y la ejecución de copias de seguridad periódicas.

«Sin embargo, los administradores de seguridad también deben contar con planes sólidos de respuesta y recuperación para estos casos, y deben realizar capacitaciones y simulacros regulares», dice Kane. «[And] la formación de los usuarios puede contribuir en gran medida a mejorar la postura normal de seguridad de la empresa. Dado que una gran parte de los ataques de ransomware se abren con un señuelo de phishing, capacitar a los empleados sobre cómo detectarlos puede ahorrar millones de dólares en la recuperación posterior de la brecha».



Enlace a la noticia primary