El nuevo informe de Akamai sobre el estado de Internet que destaca el panorama en evolución del ransomware: “El ransomware en movimiento: evolución de las técnicas de explotación y la búsqueda activa de día cero”, muestra que el uso de vulnerabilidades de día cero y día uno dio lugar a un aumento del 143 % en el total de víctimas de ransomware entre el primer trimestre del 2022 y el primer trimestre del 2023. En el informe, también se descubrió que los grupos de ransomware priorizan cada vez más la exfiltración de archivos, la extracción o transferencia no autorizadas de información confidencial, la cual se convirtió en la principal fuente de extorsión. Esta nueva táctica indica que las soluciones de respaldo de archivos ya no son una estrategia suficiente para protegerse contra el ransomware.
Según el informe, los adversarios están evolucionando sus métodos y técnicas a partir del phishing para poner mayor énfasis en el uso indebido de vulnerabilidades. A medida que estos adversarios cambian las tácticas, LockBit ha dominado el panorama del ransomware, desde el cuarto trimestre del 2021 hasta el segundo trimestre del 2023, con un 39 % de víctimas en total: más del triple de la cantidad de víctimas del segundo grupo de ransomware con la calificación más alta. En un análisis más detallado, se muestra que el grupo de ransomware CL0P está desarrollando agresivamente vulnerabilidades de día cero, lo que aumenta la cantidad de sus víctimas 9 veces año tras año.
De todas las industrias verticales, la manufactura experimentó un aumento del 42 % en el total de víctimas entre el cuarto trimestre del 2021 y el cuarto trimestre del 2022, lo que enfatiza la potencial amenaza para las cadenas de suministro globales. LockBit fue responsable del 41 % de los ataques en general a esta industria. La vertical de la atención médica observó un aumento del 39 % en víctimas durante el mismo período y se dirigió principalmente por los grupos de ransomware ALPHV (también conocido como BlackCat y LockBit.
A continuación otros hallazgos clave de este informe de Akamai:
● Las organizaciones con ingresos reportados de hasta USD 50 millones de dólares tuvieron el mayor riesgo de volverse un objetivo (65 %), mientras que las organizaciones con ingresos informados de más de USD 500 millones de dólares constituyeron el 12 % del total de víctimas
● Las víctimas de varios ataques de ransomware tuvieron más que 6 veces una mayor probabilidad de experimentar el segundo ataque en un plazo de tres meses desde el primer ataque.
● Las organizaciones de servicios financieros registraron un aumento del 50 % en el número total de organizaciones afectadas año tras año, mientras que la vertical de Retail se ubicó en el tercer lugar en el número de víctimas de ransomware por industria y experimentó un aumento del 9 %.
“Los adversarios detrás de los ataques de ransomware siguen evolucionando sus técnicas y estrategias para atacar la parte central de las organizaciones mediante la exfiltración de su información fundamental y confidencial”, afirmó Pavel Gurvich, vicepresidente sénior y gerente general de seguridad empresarial en Akamai. “Es fundamental que las organizaciones comprendan las técnicas y herramientas implementadas por los adversarios para proteger sus activos fundamentales, preservar la confianza en su marca y garantizar la continuidad del negocio”.
A medida que las organizaciones continúan reforzando sus defensas de ciberseguridad, se vuelve imperativo que las soluciones de copia de seguridad de archivos ya no se utilicen como una solución integral para combatir a los grupos de ransomware. Para abordar los desafíos actuales, las organizaciones deben priorizar medidas proactivas, como la segmentación de la red, la gestión de vulnerabilidades, la aplicación de parches “virtuales” y oportunas, así como el monitoreo proactivo de los sistemas de transferencia de archivos para mitigar el riesgo de ser víctima de ataques de grupos de ransomware.
Metodología
Los datos de ransomware que se utilizaron en este informe se recopilaron desde los sitios de filtraciones de aproximadamente 90 grupos de ransomware diferentes. Es común que estos grupos informen detalles de sus ataques como marcas de tiempo, nombres de víctimas y dominios de víctimas. Es importante tener en cuenta que estos informes están sujetos a lo que sea que cada grupo de ransomware tenga deseo de publicar. En esta investigación, no se incluyó el éxito de estos ataques informados.
En cambio, esta investigación se centró en las víctimas que fueron informadas. Para cada análisis, se midió la cantidad de víctimas únicas dentro de cada grupo. Estos datos de víctimas se combinaron con datos obtenidos de ZoomInfo para proporcionar detalles adicionales sobre cada víctima, como la ubicación, el rango de ingresos y la industria. Todos los datos son de un período de 20 meses desde el 1 de octubre del 2021 hasta el 31 de mayo del 2023.