El aumento de ciberataques en el mundo no ha parado de crecer, a pesar de las operaciones policiales que han desmantelado a grupos dominantes como Ambitious Scorpius (distribuidores de BlackCat) y Flighty Scorpius (distribuidores de LockBit) en el panorama internacional. Algunos grupos de ransomware de alto perfil han desaparecido de forma pública, sin embargo, otros grupos han ocupado esos vacíos.
Así lo da a conocer Unit 42, investigadores de amenazas e incidentes y consultores de seguridad de Palo Alto Networks, a través de su informe “Ransomware Review: First Half of 2024”, con el cual vigilan de cerca los sitios de filtraciones de ransomware y extorsión para mantenerse al tanto de la actividad cibercriminal a nivel global.
En la investigación, han revisado los anuncios de amenazas de 53 sitios web dedicados a las filtraciones en la primera mitad de 2024, por lo que han encontrado 1.762 nuevas publicaciones. Esto supone una media de aproximadamente 294 publicaciones al mes y casi 68 publicaciones a la semana.
De los grupos de ransomware cuyos sitios de filtraciones han supervisado, seis de ellos fueron responsables de más de la mitad de los ataques. Estados Unidos fue, con diferencia, el país con más víctimas registrando 917 ataques, lo que representa el 52% del total. Por orden de impacto, los 10 países restantes fueron: Canadá, Reino Unido, Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
Aunque los ataques de ransomware siguen siendo en gran medida oportunistas, el reporte determina que los sectores más afectados fueron la industria de Manufactura con 289 ataques (16,4% de los mensajes observados), Salud (9,6%) y Construcción (9,4%). Estos últimos integran tecnologías y dispositivos que pueden ser difíciles de monitorear y proteger.
Al igual que en Manufactura, Salud es extremadamente sensible a las interrupciones y los tiempos de inactividad, por lo que se investiga con detenimiento cualquier fluctuación estacional que pueda producirse debido a las vacaciones anuales, temporadas de viajes y otros eventos recurrentes que pudiesen propiciar ataques.
Estas son las vulnerabilidades más comunes que se explotarán en 2024.
Las nuevas vulnerabilidades reveladas impulsaron principalmente la actividad del ransomware, ya que los agresores se apresuraron a tomar este tipo de oportunidades. Los grupos criminales suelen aprovecharse de debilidades para acceder a las víctimas a través de sus propias redes y desplazarse lateralmente por los entornos infectados.
El ecosistema de amenazas se ha visto inundado de vulnerabilidades de día cero y otras más graves, generando un amplio menú para elegir. Según el Informe de Respuesta a Incidentes más reciente de Unit 42, las vulnerabilidades se convirtieron en la principal causa de acceso inicial durante 2023, superando por primera vez a otros métodos comunes como el phishing.
Esta tendencia continúa en 2024, destacando vulnerabilidades más prolíficas explotadas por grupos de ransomware en la primera mitad de 2024. Ante este contexto, es necesario que las organizaciones busquen implementar un sólido programa de gestión de vulnerabilidades que tenga en cuenta las conocidas anteriormente, así como las nuevas que fueron incluidas en el informe del primer semestre del 2024.
Un panorama cambiante desafía la seguridad de las empresas
Incluso con los mejores resultados de las fuerzas policiales para desmantelar a los cibercriminales más prolíficos, muchos grupos altamente capacitados están llenando el vacío en lo que va de 2024. El informe detecta a los ciberdelincuentes emergentes que Unit 42 ha estado rastreando durante el primer semestre y que pueden haber entrado en el radar basándose en acontecimientos recientes.
Spoiled Scorpius es el nombre utilizado para identificar a quienes están detrás de RansomHub, un RaaS anunciado en el foro de ciberdelincuencia Russian Anonymous Market Place (RAMP). Este grupo es en gran medida oportunista, pero prohíbe los ataques a entidades en Cuba, China, Corea del Norte y territorios rusos.
A través de las intervenciones en respuesta a incidentes, se han observado una cadena de acontecimientos que indica que este grupo consigue el acceso inicial de las víctimas a través del malware SocGholish mediante el envenenamiento de la optimización del motor de búsqueda (SEO) y se ha utilizado el acceso a los sistemas de las víctimas para eliminar copias de seguridad tanto del almacenamiento local como en la nube.
Además, hay evidencia de ataques de denegación de servicio distribuidos (DDoS) y vulnerabilidades como CVE-2020-1472 para afectar a sus víctimas. El grupo también llama en frío a los afectados para presionar aún más y que paguen el cuantioso rescate.
Es por ello por lo que Palo Alto Networks emite la recomendación a empresas e instituciones de mejorar su protección contra amenazas de ransomware a través de soluciones integrales de seguridad en la red, así como en la nube, para mitigar riesgos y proteger la información sensible o confidencial garantizando la prevención avanzada de amenazas.