Inicio Articulos. Ransomware domina el panorama de amenazas en ciberseguridad

Ransomware domina el panorama de amenazas en ciberseguridad

El ransomware domina el panorama de amenazas por séptimo trimestre consecutivo, al representar el 50% de todos los ataques, con una tendencia al alza desde el 40% en el anterior trimestre

Ransomware

Por Yair Lelis, Director de Seguridad de Cisco México

Vulnerar una red se ha vuelto un negocio sumamente lucrativo para los cibercriminales que buscan cualquier error en la protección para ingresar a una red y afectar su funcionamiento para cobrar un rescate.

Estas afectaciones pueden detener las operaciones de una organización y con ello detener desde la entrega de un servicio básico para una población, hasta poner en riesgo la vida de las personas y el ecosistema.

Durante los últimos años hemos visto un aumento significativo en lo que se refiere a los ciberataques contra organizaciones de todos los niveles, y derivado de la pandemia, esta tendencia ha ido al alza, en especial porque se abrieron nuevos flancos, como lo es el home office, donde los CIOs ahora debieron ofrecer seguridad a sus usuarios conectados externamente desde diferentes lugares o las diferentes amenazas de ataque a las redes que transportan información de las vacunas.

Los ataques no cesan y por ello, la organización de inteligencia en ciberseguridad Cisco Talos, se mantiene alerta en lo referente al funcionamiento de las redes y por ello presentó el reporte sobre los principales programas maliciosos detectados entre noviembre del 2020 y febrero del 2021.

La compañía confirmó que el ransomware domina el panorama de amenazas por séptimo trimestre consecutivo al representar el 50% de todos los ataques, con una tendencia al alza desde el 40% en el anterior trimestre. Los troyanos utilizados ahora como un commodity fueron la segunda amenaza más observada con 42% de todas las amenazas, un gran aumento para esta categoría de malware.

En su informe Cisco Talos Incident Response (CTIR)  observó que las principales variantes de ransomware fueron Ryuk y Vatet, lo que es notable dada la ausencia de Ryuk en el trimestre previo. También se observaron variantes de Egregor y  WastedLocker, las cuales apuntan a organizaciones de todo el mundo.

A diferencia del último trimestre, sin embargo, estos ataques ransomware se basaron en phishing entregando documentos que ejecutan alguna carga maliciosa utilizando macros (maldocs) tales como  Zloader,  BazarLoader  y  IcedID.

Casi el 70% de los ataques ransomware se basaron en troyanos de materias primas este trimestre. Los adversarios también emplean herramientas disponibles comercialmente como Cobalt Strike, herramientas post-explotación de código abierto como Bloodhound y herramientas nativas en el sistema de la víctima, como PowerShell.

De cara al futuro, Microsoft anunció recientemente cuatro vulnerabilidades críticas en su Exchange Server y reveló que un actor de amenazas llamado Hafnium había estado explotando estas vulnerabilidades de webshells  dirigidos a un conjunto de organizaciones. Pronto otros actores de amenazas comenzaron a aprovechar estas exploits también, que van desde Amenazas Peristentes Avanzadas (APT) hasta grupos que desarrollan criptominería,  con organizaciones afectadas estimadas en decenas de miles. CTIR ha estado respondiendo a un número creciente de incidentes relacionados con las vulnerabilidades de Microsoft Exchange.

 

Organizaciones de atención médica, en especial peligro

Los actores maliciosos se dirigieron a una amplia gama de verticales, incluyendo gestión de negocios, construcción, educación, energía y servicios públicos, entretenimiento, financiero, gubernamental, atención médica, distribución industrial, legal, fabricación y tecnología.

Es importante destacar que los adversarios se dirigieron más a menudo a la atención médica, como anticipamos el trimestre pasado dada la serie de ataques ransomware dirigidos a organizaciones encargadas de la salud.

Vale la pena señalar que ha habido un aumento en los incidentes relacionados con el malware Vatet, que se ha dirigido a este tipo de organizaciones. CTIR identificó un patrón potencial en el que los hospitales regionales asociados a una entidad o estado son atacados inicialmente y pueden servir como objetivos continuamente, en especial si tienen conexiones VPN activas con la organización afectada. Hay muchas razones por las que los actores continúan apuntando a la industria de la atención médica, incluida la pandemia COVID-19 que incentiva a las víctimas a pagar para restablecer los servicios lo antes posible.