El ransomware sigue siendo la principal amenaza para las empresas grandes y medianas, y numerosas bandas de ransomware abusan de la IA para la automatización, según Acronis.
Las bandas de ransomware mantienen la presión sobre las víctimas
De enero a junio de 2025, el número de víctimas de ransomware denunciadas públicamente aumentó un 70% en comparación con el mismo período de 2023 y 2024. Febrero se destacó como el peor mes, con 955 casos denunciados.
Solo Cl0p fue responsable de 335 de esos casos, un aumento del 300% mes a mes que aprovechó la explotación masiva de vulnerabilidades de alta gravedad en las plataformas CLEO MFT (Harmony, VLTrader, Lexicom), CVE-2024-50623 (ejecución remota de código) y CVE-2024-55956 (inyección de comandos).
El ritmo de ataques se desaceleró en el segundo trimestre de 2025, con 1522 víctimas en comparación con las 2120 del primer trimestre. Esta disminución probablemente se debió a la represión policial , las pausas en el cambio de marca por parte de los principales grupos y el fortalecimiento de las defensas corporativas.
La fabricación, el comercio minorista y las tecnologías fueron las industrias más atacadas por ransomware en el primer trimestre de 2025. El comercio minorista, la alimentación y las bebidas (12%) y las telecomunicaciones y los medios de comunicación (10%) también fueron objetivos populares.
Los MSP bajo ataque
Si bien el número general de ataques dirigidos a los MSP disminuyó durante el período de tiempo medido, la naturaleza de los ataques cambió significativamente: el phishing representó el 52% de todos los ataques dirigidos a los MSP en comparación con el 30% en 2024, mientras que los ataques del Protocolo de escritorio remoto (RDP) prácticamente desaparecieron.
A pesar de una pequeña caída del 15% al 13%, el abuso de credenciales sigue siendo una amenaza constante, impulsada por atacantes que obtienen tokens y contraseñas válidos a través de ladrones de información .
En la primera mitad de 2025, Akira, Play, Cl0p, RansomHub, Qilin y RALord/Nova se destacaron como los grupos de ransomware más activos que atacaban a los MSP y proveedores de telecomunicaciones.
Cada grupo tiene su propio enfoque para entrar. Cl0p, por ejemplo, sigue aprovechando vulnerabilidades conocidas en software de terceros, mientras que Akira y RansomHub se apoyan más en el phishing y el robo de credenciales, a menudo apoyados por ladrones de información.
Los ataques a los MSP ocurren ahora con regularidad y afectan a proveedores de todos los tamaños y en regiones de todo el mundo.
Los atacantes están aprovechando la confianza en las herramientas de colaboración
Los atacantes se aprovechan de la confianza que los usuarios depositan en las herramientas de comunicación en tiempo real, utilizando tácticas como el BEC basado en deepfakes para suplantar la identidad de directores ejecutivos y así evadir las defensas tradicionales. La persistencia de ataques avanzados, aunque de bajo volumen, indica que los exploits de día cero y las amenazas basadas en IA siguen siendo una preocupación crítica.
Entre el 1 de enero y el 15 de mayo de 2025, los investigadores analizaron más de 714 millones de correos electrónicos y casi 1280 millones de archivos y URL. Durante ese periodo, detectaron un total de 7 201 107 ataques, lo que equivale a unos 205 ataques por organización al mes. Un análisis más detallado de los correos electrónicos reveló que alrededor del 30 % se marcaron como spam, mientras que el 1,1 % eran claramente maliciosos, con enlaces de phishing, malware o cargas útiles de ataques avanzados.
El malware en aplicaciones de colaboración sufrió un fuerte impacto, con una caída del 82 % al 45 %. Al mismo tiempo, el phishing aumentó del 9 % al 30,5 %, y los ataques avanzados, del 9 % al 24,5 %. Esto demuestra que los atacantes están diversificando sus tácticas, con un enfoque creciente en el phishing y, posiblemente, en ataques basados en IA dentro de las plataformas de colaboración.
Los ataques totales por correo electrónico cayeron un 6,5% (7,2 millones frente a 7,7 millones) y los ataques por organización por mes cayeron un 29,6% (205 frente a 291).
La tasa de spam aumentó ligeramente del 27,6 % al 30,2 %, lo que indica ataques persistentes, de gran volumen y bajo esfuerzo. La tasa de correo electrónico malicioso disminuyó del 1,5 % al 1,1 %, lo que sugiere que los atacantes están optando por ataques más específicos y de alto impacto.
El phishing disminuyó del 79% al 69,8%, pero la ingeniería social y el BEC aumentaron del 20% al 25,6%, lo que refleja el uso de IA para crear suplantaciones de identidad convincentes.
Ciberamenazas impulsadas por IA
El auge de las ciberamenazas impulsadas por IA ha impulsado el crecimiento de los modelos de ciberdelincuencia como servicio (CaaS). En la dark web, las herramientas y servicios de IA se están poniendo a disposición de delincuentes con menos habilidades técnicas, lo que permite a más personas acceder a capacidades de ataque sofisticadas. Esta tendencia está reduciendo las barreras de entrada para la ciberdelincuencia, permitiendo que una mayor variedad de actores lleven a cabo ataques.
“Si bien el objetivo final de los ciberdelincuentes sigue siendo el ransomware, la forma en que lo consiguen está cambiando”, afirmó Gerald Beuchelt , CISO de Acronis. “Incluso los atacantes menos sofisticados hoy en día tienen acceso a capacidades avanzadas de IA, lo que les permite generar ataques de ingeniería social y automatizar sus actividades con un mínimo esfuerzo. Como resultado, los MSP, fabricantes, ISP y otros están constantemente expuestos a ataques sofisticados, incluyendo deepfakes cada vez más avanzados, y basta con un solo error para poner en riesgo el futuro de las organizaciones”.
Fuente y redacción: segu-info.com.ar