RANSOMWARE EN AUMENTO

Un ataque de ransomware tiene la capacidad de interrumpir el funcionamiento básico de una organización y detenerla. El daño que estos ataques pueden causar se ha convertido en un asunto de seguridad nacional. En 2021, el presidente de Estados Unidos de Norteamérica Biden lanzó la Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación , que ordenó la transición a un marco de Confianza Cero .

BlackFog ha estado siguiendo de cerca las tendencias de ransomware durante más de tres años. En octubre de 2022, vimos el mayor aumento de ataques hasta la fecha. Aquí, profundizamos en los sectores más específicos, cómo se desarrollaron los ataques y qué se puede hacer para defenderse de ellos.

Los sectores más amenazados

Los ataques cibernéticos ahora tienen un objetivo más estratégico que nunca, centrándose en sectores específicos o, en algunos casos, en una organización en particular. Las bandas criminales se han vuelto más creativas a la hora de lanzar estos ataques, por lo que sería seguro asumir que los actores de amenazas acudirían en masa a industrias ricas en capital como las finanzas o los seguros. Sin embargo, la investigación de BlackFog   encontró que los más atacados son los del sector público: educación y gobierno.

Además, el FBI, MS-ISAC y CISA  emitieron recientemente advertencias  sobre ataques disruptivos dirigidos al sector educativo. Las instituciones educativas en los EE. UU., especialmente las escuelas K-12, han sido las víctimas más frecuentes de los ataques disruptivos de ransomware. La investigación reveló un aumento del 16 % en los ataques al sector de la educación en octubre y un aumento del 14 % en noviembre. Los ataques del gobierno experimentaron un aumento del 12% en octubre y del 13% en noviembre.

La investigación de BlackFog también destacó que los sectores de la salud y la tecnología se enfrentan a un número más significativo de ciberataques. En octubre, los ataques al sector tecnológico aumentaron más de un 29% respecto a los meses anteriores. Entonces, ¿por qué ha aumentado el número de ataques a estos sectores?

Por qué las bandas criminales atacan estos sectores

El sector de la educación es bien conocido por sus restricciones presupuestarias, por lo que puede no parecer lucrativo. Sin embargo, el valor de un ataque no siempre se trata del objetivo en sí, sino del valor que se puede aprovechar a través de la extorsión. Las instituciones educativas tienen una gran cantidad de datos valiosos sobre estudiantes, padres y empleados que pueden ser muy valiosos en el mercado en general.

Las restricciones presupuestarias prácticamente garantizan que la educación sea un objetivo fácil, con poca inversión tanto en tecnología como en personal. Además, otro objetivo detrás de orquestar un ataque de ransomware es crear una interrupción. Cuanto más grande es la institución, mayor es el impacto que tiene un ataque en sus víctimas. También significa que es más probable que la institución pague una suma sustancial para recuperar sus datos y reanudar los servicios.

Los sectores del gobierno y de la salud enfrentan problemas similares con complicaciones adicionales como HIPPA y otras formas de regulación y cumplimiento.

El sector de la tecnología es otro muy lucrativo en términos de pago. Las empresas en esta área, naturalmente, dependen en gran medida de las aplicaciones basadas en Internet; por lo tanto, un ataque a este sector tiene un impacto devastador. Dado que un ataque probablemente hará que las operaciones de una organización se detengan por completo, el perpetrador tiene mucha influencia para sus demandas.

Un ataque grave de ransomware no solo causará la pérdida de negocios, sino también daños a la reputación. Los clientes, así como los empleados, se quedan con una sensación constante de inseguridad después de que ocurre un ataque que involucra sus datos. Los ataques también suelen tener efectos dominó que provocan interrupciones en otras organizaciones que dependen de ellos.

¿Cuáles son los tipos de ransomware más utilizados?

El mes de octubre fue testigo de un cambio dramático en las variantes de ransomware con BlackCat, Hive, LockBit y Conti en aumento.

BlackCat experimentó un  aumento del 47 % en comparación con los meses anteriores, y hubo un aumento significativo en LockBit. LockBit se usó anteriormente para interrumpir las operaciones en el concesionario de automóviles Pendragon del Reino Unido cuando los delincuentes exigieron un rescate récord de $ 60 millones.

El aumento en el uso de estas variantes refleja su eficacia. Se sabe que la variante BlackCat tiene capacidades significativas de destrucción de datos después de que causó estragos en septiembre de este año.

Peor aún son los ataques de PowerShell llevados a cabo por bandas de malware. La investigación de BlackFog también descubrió un aumento del 85 % en el uso de PowerShell. Microsoft PowerShell proporciona un fuerte control sobre los sistemas Windows, que los adversarios pueden aprovechar para orquestar varios ciberataques sofisticados, como el ransomware.

Defensa contra la amenaza del ransomware

Una de las mejores formas de defenderse contra el código de ransomware es asegurarse de que el malware no ingrese a la red en primer lugar. Las organizaciones necesitan un enfoque holístico para protegerse contra las vulnerabilidades de día cero del ransomware, y las técnicas modernas de ransomware continúan derrotando a las herramientas existentes. Las soluciones como XDR, EDR, firewalls y herramientas antivirus no brindan una protección adecuada contra este nuevo tipo de ataque.

Las bandas criminales implementan cada vez más malware de extorsión doble y triple que combina el cifrado de datos con la exfiltración. Las investigaciones encontraron que la exfiltración de datos estuvo involucrada en el 89% de los ataques en octubre y noviembre. La antiexfiltración de datos (ADX) es una nueva técnica que se puede utilizar para mitigar este riesgo al restringir la salida de datos del dispositivo.

Se considera que el ransomware está en su “edad de oro”, ya que los ataques se vuelven más específicos y las pandillas aprovechan técnicas polimórficas altamente avanzadas. Las organizaciones necesitan un enfoque de varias capas para defenderse de estas nuevas variantes de ransomware a medida que los actores de amenazas continúan evolucionando y compartiendo su código dentro de sus redes.

Esta amenaza omnipresente no ve signos de desaceleración en el corto plazo, y todas las organizaciones deben estar preparadas para lo inevitable mediante la adopción de herramientas modernas para proteger su activo más valioso, sus datos.