Buscar
 Newsletter
Revista IT Digital Magazine
IT Digital Magazine Última edición Descárgatela

Febrero ha sido el peor mes de la historia en ataques de ransomware a nivel global

  • Endpoint
ransomware

En vez de centrarse en empresas o sectores específicos, los atacantes se aprovechan de vulnerabilidades de software recién descubiertas en dispositivos de red perimetral. El grupo líder de ransomware ha sido Cl0p, que se ha cobrado un total de 335 víctimas, el 35% del total.

Bitdefender ha publicado su informe de amenazas de marzo, que analiza la actividad de 70 sitios web de filtración de datos de ransomware en la Dark Web, donde los grupos de ransomware publican los datos de sus víctimas con fines de extorsión. De acuerdo con el informe, febrero registró un volumen de ataques de ransomware récord a nivel global, ya que el número de víctimas reclamadas ha crecido un 126% con respecto al mismo periodo del año anterior, pasando de 425 en febrero de 2024 a 962 en febrero de 2025. Estados Unidos, Canadá y Reino Unido han sido los países con más víctimas durante el mes analizado.

La respuesta está en un cambio del que Bitdefender viene advirtiendo desde 2022. En lugar de centrarse en empresas o industrias específicas, algunos grupos de ransomware se están volviendo cada vez más oportunistas al dirigirse a las vulnerabilidades de software recién descubiertas en los dispositivos de red perimetral.

 

El ransomware cambia sus tácticas 

Los ciberdelincuentes, independientemente de si tienen motivaciones financieras o están afiliados al estado, se centran en encontrar vulnerabilidades que cumplan con ciertos criterios:

-     Las vulnerabilidades con puntuaciones de alto riesgo (CVSS).

-     Las vulnerabilidades que permiten a los atacantes tomar el control de un sistema (RCE) de forma remota.

-     Las vulnerabilidades que afectan al software al que se puede acceder desde Internet.

-     Un desarrollador de exploits o un actor malintencionado que ya ha publicado la prueba de concepto (PoC) para el proceso de explotación.

Menos de 24 horas después de la divulgación pública de la vulnerabilidad, los actores de amenazas lanzan escáneres automatizados que rastrean Internet y establecen acceso remoto a los sistemas vulnerables. Después de este bombardeo de acceso inicial, los actores de amenazas comienzan la segunda etapa del ataque: el hackeo manual de las víctimas.

Esta segunda etapa lleva tiempo. Los atacantes necesitan averiguar qué sistemas valen la pena, y luego tienen que hackear manualmente su camino más profundo, generalmente usando técnicas de Living Off the Land para evadir la detección. Este retraso significa que el ataque de ransomware o el robo de datos reales suele producirse semanas o incluso meses después de que los actores de amenazas obtengan el acceso inicial.

En el caso de Cl0p. El análisis apunta a su explotación de dos vulnerabilidades recientes en el software de transferencia de archivos Cleo, calificadas con 9,8 sobre 10 en gravedad, que permitieron a los atacantes ejecutar comandos en sistemas vulnerables. Aunque estas vulnerabilidades se revelaron en octubre y diciembre de 2024, la parte manual del ataque es lo que lleva tiempo, lo que puede explicar por qué ahora se está viendo el aumento de víctimas. Cl0p se ha cobrado un total de 335 víctimas, el 35% del total.

TAGS

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO