El ransomware evoluciona: proliferación de variantes, nuevas técnicas y más grupos

  • Endpoint

seguridad ransomware

Durante los diez primeros meses de 2022 se duplicaron los usuarios atacados con ransomware dirigido si se compara con el mismo periodo de 2021, según los datos de Kaspersky. Este es un crecimiento que Kaspersky califica de "sorprendente" y que indica que los grupos dedicados a lanzar ransomware han continuado con sus técnicas. Además, han surgido nuevos grupos como Play.

  Recomendados....

» Tendencias 2023 en ciberseguridad para blindar a las empresas  Webinar
» Ciberseguridad y normativa: claves de la confianza del ciudadano en los servicios públicos Acceder 
» Digitalización y negocio. Qué nos depararán las TI en 2023 Informe

La cantidad de usuarios afectados por ransomware dirigido representó el 0,026% del total de los incidentes por malware en 2022, frente al 0,016% de 2021, fruto de un entorno en el que los los cibercriminales buscan continuamente oportunidades para realizar ataques con ransomware de precisión para lograr sus objetivos.

Las recientes investigaciones de Kaspersky reflejan que los grupos dedicados al ransomware continúan mejorando sus técnicas. Por ejemplo, el ransomware Lockbit sigue siendo uno de los más populares, innovadores y de rápido desarrollo utilizados en la actualidad. Dificulta la labor de los especialistas en seguridad cibernética al incorporar nuevas opciones y la práctica del dumping de credenciales. Esta técnica permite hacerse con el dominio del equipo infectado y crear un canal para restablecer las credenciales del sistema operativo.

Solo en 2022 la firma ha detectado más de 21.400 cepas, lo que demuestra que hay nuevas variantes de ransomware que emergen. Una de ellas es Play, que dificulta el análisis. Su código no se parece a otras muestras de ransomware, pero afortunadamente ‘Play’ se encuentra en las primeras etapas de su desarrollo. Cuando Kaspersky llevó a cabo la investigación no se pudo detectar el punto de fuga. Este ransomware solicita a las víctimas, a través de la nota de rescate, que contacten con los ciberdelincuentes a través de una dirección de correo electrónico. Lo que llamó la atención de los analistas fue que contiene una funcionalidad encontrada recientemente en otras variantes avanzadas de ransomware: la autopropagación. Los atacantes encuentran un bloque de mensajes de servidor (SMB) y realizan una conexión. A renglón seguido, Play intenta montar el SMB, y distribuir y ejecutar el ransomware en el sistema remoto.

Según Jornt van der Wiel, experto en seguridad de la compañía, Los desarrolladores de ransomware vigilan de cerca lo que hacen sus competidores. "Si uno realiza una implementación de una determinada funcionalidad con éxito, existe una gran probabilidad de que otros lo repliquen. Esto hace que el ransomware sea más interesante para quienes lo utilizan. La autopropagación de ransomware es un claro ejemplo de esto. Cada vez más y más grupos de ransomware inventan técnicas que hacen los ataques más dirigidos y destructivos -y este año las estadísticas son una buena prueba de ello-. Otra cosa que no podemos dejar de recordar es la necesidad de hacer copias de seguridad periódicas y almacenarlas offline”, explica.

Consejos del experto
-- No emplear servicios de escritorio remoto (como RDP) en redes públicas a no ser que sea estrictamente necesario. Utilizar siempre contraseñas fuertes.

-- Instalar tan pronto como sea posible los parches disponibles para soluciones VPN comerciales que dan acceso en remoto a los empleados y actúan como puertas de enlace a la red.

-- Centrar la estrategia defensiva en detectar movimientos laterales y la filtración de datos en internet. Prestar especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.

-- Realizar copias de seguridad con regularidad, así como disponer de un acceso rápido a las mismas en caso de emergencia.

-- Utilizar soluciones y servicios que que ayudan a identificar y detener los ataques en fase temprana, antes de que los atacantes logren su objetivo.

-- Usar la última información de inteligencia frente a amenazas para estar al tanto de las Tácticas, Técnicas y Procedimientos (TTP) utilizados.