Los incidentes de ransomware descendieron en 2022 pero sigue lejos de dejar de ser un problema

Recomendados....   » I Encuentro ITDM Group: Cloud, palanca de crecimiento y gestión empresarial Registro » El nuevo paradigma de seguridad para entornos SD-WAN Acceso » Replanteando la gestión de residuos y eliminación de activos informáticos Guia

Los ataques de ransomware persistieron en 2022 a pesar de las mejoras en la detección, según este estudio de IBM. Sus datos indican que los incidentes causados de ransomware disminuyeron en 2022 cuatro puntos porcentuales, lo que está directamente relacionado con la detección y prevención de este tipo de ataques. Pese a ello, los atacantes han continuado innovando en sus capacidades, como muestra el hecho de que hayan pasado de necesitar dos meses de promedio para completar un ataque de ransomware  a menos de cuatro días.

De acuerdo con el informe, el despliegue de puertas traseras, aquellas que permiten el acceso remoto a los sistemas, fue la acción más habitual ejecutada por los atacantes durante 2022. Alrededor del 67% de esos casos de puertas traseras estuvieron relacionados con intentos de ransomware, frustrados por los equipos de seguridad antes de que se llegara a implementar el ataque. El aumento en los despliegues de puertas traseras puede atribuirse, en parte, a su alto valor de mercado. De hecho, X-Force ha observado que los ciberdelincuentes llegan a vender por hasta 10.000 dólares los accesos a puertas traseras existentes, mientras que los datos de tarjetas de crédito robadas, se venden hoy día por menos de  10 dólares . Para IBM Security X-Force, "es solo cuestión de tiempo que el problema que existe hoy con las puertas traseras termine siendo la crisis de ransomware de mañana. Los atacantes siempre encuentran nuevas formas de eludir la detección. Ya no basta con una buena capacidad de defensa. Para evitar una lucha interminable con los atacantes, las empresas deben impulsar una estrategia de seguridad proactiva y orientada a las amenazas".

Otras conclusiones del informe es que la extorsión, el método preferido por los atacantes, sobre todo en Europa, que acaparó el 44% de los casos de extorsión detectados, ya que los ciberdelincuentes buscaron sacar provecho de las tensiones geopolíticas actuales. El sector más extorsionado fue el manufacturero.

Además, utilizan las conversaciones por correo electrónico como arma. El secuestro de hilos de correos electrónicos experimentó un aumento muy importante en 2022. A lo largo del pasado año, los ciberdelincuentes utilizaron cuentas de correo electrónico comprometidas para responder a conversaciones en curso haciéndose pasar por el interlocutor original. El índice X-Force refleja que los intentos mensuales de ataque con este tipo de táctica aumentaron un 100% en comparación con 2021.

Por otro lado, la proporción de exploits conocidos que intervinieron en ataques disminuyó 10 puntos porcentuales desde 2018 hasta 2022, en gran medida porque el número de vulnerabilidades alcanzó un nuevo récord en 2022. Aun así, los resultados del índice reflejan que los exploitsheredados permitieron que infecciones por malware antiguas, como WannaCry y Conficker, continuaran propagándose.

Secuestro de hilos de correos electrónicos
De acuerdo con esta nueva edición del índice, los secuestros de hilos de correos electrónicos aumentaron en 2022, hasta el punto de que el número de intentos mensuales de ataques con este objetivo se duplicó en comparación con 2021.  X-Force indica que, a lo largo del año pasado, los atacantes utilizaron esta técnica para distribuir Emotet, Qakbot eIcedID, un software malicioso que a menudo provoca infecciones de ransomware.

Dado que el phishing fue la principal causa de ataques cibernéticos en 2022 y el secuestro de hilos de correos electrónicos aumentó notablemente, resulta evidente que los ciberdelincuentes se aprovechan de la confianza que sus potenciales víctimas tienen en el correo electrónico. En este sentido, las empresas deben concienciar a sus empleados sobre esta táctica para reducir el riesgo de que se conviertan en víctimas.

La ‘I+D’ de exploits va por detrás de las vulnerabilidades
La relación entre exploits conocidos y vulnerabilidades ha ido disminuyendo en los últimos años; en concreto, ha caído en 10 puntos porcentuales desde 2018. Los ciberdelincuentes ya tienen acceso a más de 78.000 exploits conocidos, lo que facilita la explotación de vulnerabilidades más antiguas que no han sido parcheadas. Sirva de ejemplo que, pese a que han pasado cinco años desde que se dio a conocer, las vulnerabilidades que provocaron las infecciones de WannaCry siguen suponiendo una amenaza significativa: X-Force reportó hace poco un crecimiento del 800% en el tráfico de ransomware proveniente de WannaCry a partir de los datos de telemetría MSS desde abril de 2022. El hecho de que se continúen utilizando los exploits conocidos más antiguos pone en evidencia la necesidad de que las organizaciones revisen sus programas de gestión de vulnerabilidades, incluida la comprensión del potencial campo de ataques y la priorización de parches en función de los riesgos.