Sophos, líder mundial en ciberseguridad de última generación, publicó el Sophos Threat Report 2022 (reporte de amenazas de Sophos), que muestra cómo la fuerza gravitacional del ransomware está formando una tendencia que atrae a otras ciberamenazas para formar un sistema malicioso masivo interconectado, con implicaciones significativas para la seguridad de TI.
El informe, escrito por investigadores de SophosLabs Security, cazadores de amenazas y miembros del equipo de respuesta de Sophos Managed Threat Response, proporciona una perspectiva multidimensional y única sobre las amenazas y tendencias de seguridad que enfrentan las organizaciones de cara al 2022.
Durante el próximo año, el panorama del ransomware se volverá más uniforme, con "especialistas" de ataque que ofrecerán diferentes elementos de un ‘ataque como servicio’, además de que proporcionarán ‘manuales’ con herramientas y técnicas que permitirán a otros grupos de adversarios implementar ataques muy similares.
Según los investigadores de Sophos, actualmente existen más ofertas de ransomware como servicio (RaaS), por lo que los desarrolladores de amenazas se centraron en alquilar código e infraestructura maliciosa a terceros. Algunos de los ataques de ransomware de más alto perfil del año 2021 involucraron a RaaS, incluyendo un ataque contra Colonial Pipeline por parte de una filial de DarkSide.
Además, un afiliado de Conti ransomware filtró la guía de implementación proporcionada por los operadores de dicho ataque, revelando el paso a paso a paso que los atacantes podrían utilizar para implementar ese ransomware posteriormente.
Una vez que tienen el malware que necesitan, los afiliados de RaaS pueden recurrir a los agentes de acceso inicial y las plataformas de distribución de malware para encontrar y apuntar a posibles víctimas.
Las ciberamenazas seguirán adaptándose para distribuir y entregar ransomware, todo mediante tácticas como cargadores de data, ‘goteros’ y otros programas maliciosos básicos; cada vez más avanzados y operados por humanos.
Entre las tácticas que se seguirán utilizando figuran los corredores de acceso inicial comprometidos; correo ‘no deseado’; y adware.
El uso de múltiples formas de extorsión por parte de atacantes de ransomware para presionar a las víctimas. Se espera que el pago del rescate continúe además de que los montos pagados se incrementen.
En 2021, Sophos catalogó 10 tipos diferentes de tácticas de presión, desde el robo de datos y exposición, hasta las llamadas telefónicas amenazantes, ataques distribuidos de denegación de servicio (DDoS) y más.
Las criptomonedas seguirán alimentando delitos cibernéticos como ransomware. Sophos espera que la tendencia continúe hasta que las criptomonedas globales se encuentren mejor reguladas. Durante 2021, los investigadores de Sophos descubrieron criptomineros como Lemon Duck y el menos común, MrbMiner.
"El ransomware prospera gracias a su capacidad para adaptarse e innovar", aseguró Chester Wisniewski, científico investigador principal de Sophos. "Por ejemplo, aunque las ofertas de RaaS no son nuevas, en anteriores años, su principal contribución fue poner al ransomware al alcance de los atacantes menos calificados o menos capacitados, así como aquellos con menor poder financiero", añadió.
A su vez, detalló que "esto ha cambiado y, en 2021, los desarrolladores de RaaS están creando un código sofisticado para determinar la mejor manera de extraer cantidades de dinero aún mayores, destinando a otros las tareas de encontrar víctimas, instalar y ejecutar el malware, así como lavar las criptomonedas robadas. Esto está distorsionando el panorama de ciberamenazas, mientras que las herramientas comunes como los cargadores, ‘goteros’ y agentes de acceso inicial están siendo absorbidos por el ‘agujero negro’, aparentemente devorador, en el que se ha convertido el ransomware".
Además, el esepcialsita puso el foco en las empresas: "Ya no es suficiente que las organizaciones asuman que están seguras simplemente monitoreando las herramientas de seguridad y asegurándose de que estén detectando códigos maliciosos. Ciertas combinaciones de detección son el equivalente a un ladrón rompiendo un jarrón de flores mientras trepa por la ventana trasera. Los defensores deben investigar las alertas, incluso aquellas que en el pasado pueden haber sido insignificantes, ya que estas intrusiones comunes han florecido al punto de tener la capacidad de tomar control de redes enteras".
Continuó el incremento en la cantidad de intentos de ciberataques en el primer semestre del 2021, según Fortinet, líder mundial en soluciones de ciberseguridad amplias, integradas y automatizadas.
De acuerdo con los datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de la compañía, Argentina sufrió más de 1.200 millones de intentos de ciberataques en el primer semestre del año. En América Latina hubo más de 91.000 millones de intentos de ciberataques en la primera mitad del año.
México ocupa el primer lugar en intentos de ataque en lo que va del 2021, con 60,8 mil millones, seguido por Brasil (16,2 mil millones), Perú (4,7 mil millones) y Colombia (3,7 mil millones).
"La expansión de la superficie de ataque que brindan los modelos híbridos de trabajo y enseñanza sigue siendo una gran oportunidad para los delincuentes. Es por eso que vemos un número creciente de ataques a dispositivos IoT y a recursos vulnerables utilizados en reuniones y clases, como cámaras y micrófonos", explica Arturo Torres, Estratega de FortiGuard para América Latina y el Caribe.
"El incremento es preocupante no solo por el alto volumen de amenazas, sino también por las consecuencias que pueden tener, dando lugar a delitos sofisticados como el ransomware, que destacan tanto por la pérdida económica como por el daño a la imagen que causan a las empresas", afirmó Torres.
Los datos globales de FortiGuard Labs muestran que la actividad semanal promedio de ransomware en junio de 2021 fue diez veces mayor que los niveles de hace un año, lo que demuestra un aumento constante durante el período.
A nivel mundial, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por el gobierno y los sectores automotriz y manufacturero. Los datos muestran que el ransomware es un riesgo muy presente para todo tipo de organizaciones, independientemente de la industria o el tamaño.
Fortinet también señala que hubo una evolución en el modelo utilizado por los atacantes, con el crecimiento del llamado Ransomware-as-a-Service (RaaS), donde algunos ciberdelincuentes se enfocan en obtener y vender acceso inicial a redes corporativas, lo que alimenta aún más el crimen cibernético.
Como ejemplo, en julio pasado, FortiGuard Labs encontró un Ransomware-as-a-Service llamado "Blackmatter", que incluye un "paquete" de ransomware, sitios de pago y manuales operativos para que sus miembros y afiliados puedan infectar el objetivo con las herramientas proporcionadas.
Se ofreció acceso a redes corporativas en los Estados Unidos, Canadá, Australia y el Reino Unido, que potencialmente provenían de los empleados de las empresas, por valores que iban desde los u$s3.000 a los u$s100.000.
"Para abordar este problema, las organizaciones deben adoptar un enfoque proactivo que incluya protección de endpoints, redes y nube en tiempo real, incluida la detección automatizada de amenazas y la respuesta con inteligencia artificial. Todo con un enfoque de Zero Trust Access, especialmente para dispositivos IoT", orientó Torres.
"Además, la concientización continua sobre ciberseguridad para todos los empleados es fundamental para convertirlos en la primera barrera contra las estafas de ingeniería social, que pueden generar grandes problemas para las empresas".
El informe completo sobre los intentos de ciberataque en América Latina durante el segundo trimestre de 2021 se puede acceder aquí.