Parte 1 de 3 de la serie Ransomware: guía de campo
En 1989, el primer ataque de extorsión mediante malware (ransomware) de la historia conocido como “AIDS Trojan” llegó a través de un disquete. Los ciberdelincuentes pidieron a sus víctimas que enviaran tan solo 189 dólares (aproximadamente 450 dólares de los de ahora) a través de un cheque por correo electrónico a cambio de la clave de descifrado.
En la actualidad, los ciberdelincuentes dedicados al ransomware continúan mejorando sus tácticas y golpeando objetivos de mayor envergadura. Han conseguido recaudar millones de dólares de equipos deportivos, empresas Fortune 500, gobiernos de todo el mundo, etc.
Los profesionales de ciberseguridad deben mantener el ritmo de la evolución del panorama del ransomware para ayudar a evitar estos costos ataques. A continuación hemos recopilado las cinco principales tendencias de ransomware que ha observado recientemente Proofpoint a las que deberían prestar atención las organizaciones.
1. El ransomware persiste con más ataques contra infraestructuras críticas
Los ataques de ransomware a nivel mundial pueden parecer estancados últimamente, pero siguen siendo una amenaza persistente. Esta calma aparente puede estar relacionada con el desmantelamiento de varios grupos de ransomware muy activos llevado a cabo por las fuerzas de seguridad. Además, otros grupos se han disuelto o reorganizado recientemente. Estos acontecimientos han sacudido temporalmente el mercado. Además, se han consolidado las organizaciones de ransomware como servicio (RaaS). Los grupos de RaaS desarrollan herramientas de ransomware listas para ejecutar y las venden en un modelo de suscripción. Al bajar el coste y el nivel de competencia técnica necesaria para lanzar ataques de ransomware, estos grupos han abierto el mercado a actores de amenazas con menos experiencia.
En la actualidad la lista de posibles víctimas está disminuyendo porque muchos objetivos potenciales están reforzando su nivel de seguridad. El resultado es que los atacantes han buscado objetivos más fáciles. Habitualmente esto significa ir detrás de la infraestructura crítica, como el transporte, las comunicaciones, la atención sanitaria y la educación. Solo en 2022, estas organizaciones realizaron 870 denuncias al FBI relacionadas con ataques de ransomware, lo que supone un aumento interanual del 34 %.
En el informe Cost of a Data Breach 2022, IBM señala que las organizaciones de infraestructuras críticas a menudo van atrasadas a la hora de implementar una estrategia “Zero Trust” (de confianza cero) e invertir en tecnología de seguridad. Por lo tanto, cuando reciben un ataque, los costes pueden ser hasta un 23 % superiores que en caso de otras empresas. Esto las convierte en objetivos atractivos para los grupos de ransomware. Las organizaciones de los sectores de la educación y la atención sanitaria sufrieron un impacto particularmente importante por esta tendencia a finales de 2022.
Los ataques de ransomware no solo son increíblemente caros para las infraestructuras críticas, sino que ahora también se consideran una amenaza para la seguridad nacional. La Casa Blanca puso en marcha recientemente su Estrategia de Seguridad Nacional, que reclasifica estos ataques como amenazas para “la seguridad nacional, la seguridad ciudadana y la prosperidad económica”.
2. Aumento de las técnicas de extorsión en varias etapas
Atrás quedaron los días de bloqueos y cifrado simples de sistemas tras un ataque de ransomware. Los ciberdelincuentes están centrados ahora en aumentar sus ganancias. Esto significa que piden varios pagos, generan múltiples fugas de datos, avergüenzan públicamente a sus víctimas en sitios web de filtraciones y chantajean a los clientes con estrategias de extorsión dobles o triples.
En nuestro informe State of the Phish 2023, Proofpoint constató que el 64 % de las organizaciones afectadas por ransomware accedieron a pagar el rescate. De ese grupo, el 41 % se vieron forzadas a pagar más de una vez. Y un pequeño y desafortunado porcentaje de este grupo nunca consiguió recuperar el acceso a sus datos; desafortunadamente, esta situación no es infrecuente.
En los últimos años, hemos observado ciberdelincuentes implicados en ataques de ransomware que utilizaban con más frecuencia la extorsión doble. Esto implica la exportación de datos de clientes y su uso como recurso en lugar de simplemente paralizar las operaciones de la empresa. En ocasiones, estos atacantes se obvian el cifrado y emplean directamente tácticas de extorsión.
El número de actores maliciosos que prefieren el robo de datos y los ataques de extorsión (y que no utilizan ransomware) es cada vez mayor. En su Global Threat Report 2023, CrowdStrike reveló que este grupo había crecido un 20 % en 2022. Las técnicas de extorsión también han progresado, dando lugar a la extorsión triple. En este caso, las bandas de ransomware evitan a las organizaciones y van directamente a los clientes con sus datos robados para alertarles de una vulneración.
El objetivo de la extorsión triple es convencer a los clientes para que ejerzan presión sobre la empresa víctima y, en raras ocasiones, extorsionan a los propios clientes. Un ejemplo de esta técnica delictiva se produjo en Estado Unidos en diciembre de 2022 en el Knox College en Illinois. El grupo de ransomware Hive, desmantelado recientemente, consiguió acceder a información confidencial de los estudiantes y se puso en contacto con ellos directamente con el mensaje, “Para nosotros, hoy es un día normal. Para ti es un día triste”, antes de enumerar sus demandas.
3. Niveles de seguridad reforzados, estancamiento de precios de los rescates
Los años de combate contra el ransomware en múltiples frentes parecen haber dado sus frutos. En enero, Chainalysis calculó que los pagos de ransomware habían descendido de forma importante en 2022, de 5,7 a 4,1 millones de dólares. En lugar de un descenso significativo en las amenazas de ransomware, este descenso puede atribuirse probablemente a los avances en varios frentes. En la actualidad, las empresas están mejor equipadas para evitar los ataques de ransomware. Además, los ciberdelincuentes lo tienen más complicado para recibir los pagos debido a las turbulencias en los mercados de criptomonedas. Las empresas también están haciendo caso a las recomendaciones de las fuerzas de seguridad de no ceder y no realizar el pago.
Esto es una buena noticia para cualquier empresa que reciba un ataque de ransomware en el futuro. Pero pagar un rescate sigue siendo una preocupación, sobre todo para las organizaciones que dependen de un ciberseguro para recuperar sus costes. En nuestro informe State of the Phish 2023, constatamos que del 82 % de las organizaciones que sufrieron un incidente de ransomware y reclamaron la cobertura de sus pólizas de ciberseguro, menos del 40 % recibió una indemnización total. Además, los ciberseguros son cada vez más caros y difíciles de adquirir. En 2022, Forrester informó de que solo una de cada cinco organizaciones contaba con una póliza de ciberseguro con una cobertura superior a 660 000 dólares. Esta cifra es muy inferior a la cantidad media de petición de rescate de 2,2 millones de dólares observada por Palo Alto Networks.
Esto prueba una vez más la importancia del enfoque de “desplazamiento a la izquierda” a la hora de prepararse para evitar las payloads (cargas maliciosas) iniciales. Otro punto positivo en esta tendencia es que el descuento medio en los pagos de ransomware también parece estar aumentando. Las víctimas por lo general pueden esperar un descuento de entre el 20 y el 25 % en los pagos, y muchas pueden incluyo llegar a obtener descuentos del 60 %.
4. Los grupos de ransomware con más dirigidos y sofisticados
A medida que aumenta el número de empresas que se resisten a pagar, los grupos de ransomware se vuelven más estratégicos en sus formas de ataque y la elección de sus víctimas.
Los grupos de ransomware también ampliaron sus canales de ataque para incluir aplicaciones de mensajería, mensajes de texto y llamadas telefónicas. Agrupamos estas amenazas como ataques por teléfono o TOAD. Para diciembre de 2022, Proofpoint observó entre 300 000 y 400 000 amenazas TOAD al día. Estos canales de comunicación quedan a menudo desprotegidos. Y algunas víctimas siguen recibiendo mensajes de texto amenazantes incluso una vez entregadas las peticiones de rescate de los atacantes.
Los grupos de ransomware también continúan reclutando directamente empleados para vulnerar la seguridad de sus empleadores, con promesas millonarias si el ataque tiene éxito. Antes, estas solicitudes se realizaban de forma privada a través de mensajes de correo electrónico o LinkedIn. Más recientemente, grupos de ransomware como Lapsus$, han publicado anuncios de tipo “se necesita ayuda” en Reddit y en la Internet profunda (Deep Web), en los que se pide acceso a empresas concretas. Estas tácticas suponen un giro preocupante en el auge de las amenazas internas.
Cuando los ciberdelincuentes se infiltran en una organización, se desplazan lateralmente a través de su red. Y mientras lo hacen, buscan datos sensibles y se apropian de cuentas con privilegios para acceder a ellos. Los ciberdelincuentes recurren a esta táctica de vulneración de identidades. Esta es la razón por la que los analistas han acuñado un nuevo término de seguridad: detección y respuesta de amenazas para la identidad (ITDR, Identity Threat Detection and Response), para destacar este creciente problema. IDTR describe estrategias y soluciones, como Illusive, que detecta y evita que los atacantes consigan acceso a las cuentas, roben identidades y otras amenazas relacionadas con la identidad.
Una vez que se han asentado completamente en un sistema, algunos grupos de ransomware, como Lorenz, realizan un reconocimiento más amplio de sus víctimas. El malware que utilizan para comprometer el sistema de una víctima tiene más probabilidades de ser muy dirigido y diseñado específicamente. Esta estrategia aumenta las probabilidades de éxito y ayuda a maximizar cada ataque.
5. La evolución del ransomware acelera el ritmo
Como industria, el ransomware evoluciona más rápidamente que nunca. Según Ivanti, las vulnerabilidades asociadas con el ransomware experimentaron un aumento interanual del 12 % en el tercer trimestre de 2022. Y muchos grupos de ransomware son cada vez más ágiles y flexibles a la hora de aprovechar estas vulnerabilidades una vez que son de dominio público, o incluso antes.
Estos grupos también utilizan esta flexibilidad para mejorar sus productos y eludir a las fuerzas de seguridad. Arete y Cyentia señalaron en su informe conjunto sobre el ransomware que el 70 % de las cepas de ransomware más comunes de 2022 no existían en 2021. Esto indica un entorno extremadamente turbulento. También puede deberse, en parte, a los cambios de nombre, que es muy habitual en la industria.
Determinados grupos de ransomware, como BlackCat, son conocidos por actuar sigilosamente para evitar la detección, con el fin de mejorar su malware y resurgir con un apelativo completamente distinto. Esta práctica hace que sea mucho más difícil seguir y neutralizar estos grupos.
¿Consigue su empresa evitar el ransomware?
2022 fue un año ajetreado en lo que a ransomware se refiere. Y en 2023, el panorama de amenazas sigue cambiando a diario. Los actores de amenazas encuentran más formas de conseguir pagos más elevados y devolver menos datos. Esa es la razón por la que resulta fundamental prevenir el ransomware en lugar de buscarlo tras un ataque.
Gracias a nuestro enfoque por capas de la seguridad y a los algoritmos de detección avanzados, Proofpoint desplaza la cadena de ataque hacia la izquierda para detectar los ataques de ransomware antes de lleguen a las bandejas de entrada de los usuarios.
¿Cómo sabe si su empresa ha conseguido detener con éxito los ataques de ransomware? Realice la evaluación rápida de riesgos asociados al correo electrónico gratuita de Proofpoint para descubrir las amenazas de ransomware y malware en su entorno. En menos de cinco minutos, podrá:
- Descubrir las amenazas que escapan a su solución de protección del correo electrónico.
- Identificar a las personas de su organización que reciben ataques, como sus VAP (Very Attacked People™ o personas muy atacadas).
- Descubra la protección multicapa integrada de Proofpoint contra las amenazas en constante evolución.