Aumentan el volumen y el impacto de los ataques de ransomware dirigidos
- Actualidad
La sofisticación y la búsqueda del retorno de la inversión por ataque hacen que el ransomware sea cada vez más selectivo, por lo que se ha reducido hasta el 13% el número de organizaciones que detectan este tipo de malware, desde el 22% en el mismo periodo cinco años antes. Esta es una de las conclusiones del Informe Global de Amenazas semestral publicado por FortiGuard Labs.
Fortinet ha presentado el último Índice Global de amenazas semestral, elaborado por FortiGuard Labs, del que se desprende, que en la primera mitad de 2023, se observó un descenso en las organizaciones que detectan ransomware, una actividad significativa entre los grupos de amenazas persistentes avanzadas (APT) y se registró un cambio en las técnicas ATT&CK de MITRE utilizadas por los atacantes, entre otras.
En lo que respecta a la disminución del número de organizaciones que detectan ransomware, el informe explica que FortiGuard Labs ha documentado picos sustanciales en el crecimiento de variantes de ransomware en los últimos años, impulsados en gran medida por la adopción de Ransomware-as-a-Service (RaaS). Sin embargo, ha descubierto que se ha reducido el porcentaje de organizaciones que detectaron ransomware en la primera mitad de 2023 (13%) en comparación con este mismo periodo hace cinco años (22%). A pesar del descenso general, las organizaciones deben mantener la guardia alta. Esto respalda la tendencia observada por la unidad de inteligencia de amenazas de Fortinet en los últimos dos años: el ransomware y otros ataques son cada vez más selectivos por la creciente sofisticación de los atacantes y al deseo de aumentar el retorno de la inversión (ROI) por ataque.
La investigación también descubrió que el volumen de detecciones de ransomware sigue siendo volátil, concretamente 13 veces más alto en este semestre que a finales de 2022, pero con una tendencia general a la baja cuando se realiza una comparación interanual.
Por otro lado, los cibercriminales se dirigen a las vulnerabilidades más conocidas. Los actores maliciosos son 327 veces más propensos a atacar las principales vulnerabilidades del EPSS (índice que cuantifica la probabilidad de que una determinada vulnerabilidad sea explotada en los próximos 30 días), en un plazo de siete días en comparación con el resto de CVEs (sistema de catalogación pública que identifica y enumera las vulnerabilidades de seguridad conocidas en productos software y hardware).
La investigación incluye también información sobre la Zona Roja, que puede ayudar a los equipos de seguridad a priorizar sistemáticamente los esfuerzos de aplicación de parches para minimizar el riesgo de sus organizaciones. El análisis de FortiGuard Labs en torno a la explotación de EPSS (Fortinet es uno de los principales colaboradores del Exploit Prediction Scoring System que aportando datos de actividad de explotación.en el entorno real) amplía los esfuerzos para definir la Zona Roja, que permite cuantificar la proporción de vulnerabilidades disponibles en endpoints que están siendo atacados activamente. En la segunda mitad de 2022, la Zona Roja se situó en torno al 8,9%, lo que significa que se observaron unos 1.500 CVEs bajo ataque de los más de 16.500 CVEs conocidos. En el primer semestre de 2023, esa cifra descendió ligeramente hasta el 8,3%. La diferencia entre ambos periodos es mínima y parece ser el momento más propicio para que los ciberdelincuentes ataquen las vulnerabilidades de los terminales.
Otra conclusión principal es que casi un tercio de los grupos APT estuvieron activos en el primer semestre de 2023. Por primera vez en la historia del Índice Global de Amenazas, FortiGuard Labs rastreó el número de actores de amenazas detrás de las tendencias. La investigación reveló que 41 (30%) de los 138 grupos de ciberamenazas que MITRE rastrea estuvieron activos en el primer semestre de 2023. De ellos, Turla, StrongPity, Winnti, OceanLotus y WildNeutron fueron los más activos según las detecciones de malware. Dada la naturaleza selectiva y las campañas relativamente efímeras de las APT y los grupos cibernéticos de estados-nación en comparación con las campañas de larga duración y prolongadas de los ciberdelincuentes, la evolución y el volumen de actividad en este ámbito será algo a lo que habrá que prestar atención en futuros informes.
Finalmente, en una comparación a cinco años, el informe revela una explosión de exploits únicos (un 68% más que hace un lustro) y de familias y variantes de malware (un 135% y un 175%, respectivamente), así como que las botnets permanecen en las redes más tiempo que nunca. Según los datos de esta investigación, hay más botnets activas (+27%) y una mayor tasa de incidencia entre las organizaciones en la última media década (+126%) y, además, están más tiempo activas. Durante los primeros seis meses de 2023, el tiempo medio que las redes de bots permanecieron activas antes de que cesaran las comunicaciones de mando y control fue de 83 días, lo que representa un aumento de más de 1.000 veces con respecto a hace cinco años. Este es otro ejemplo en el que es fundamental reducir el tiempo de respuesta, ya que cuanto más tiempo permitan las organizaciones que las redes de bots permanezcan, mayores serán los daños y los riesgos para su negocio.
