Según el último
informe de amenazas cibernéticas de Travelers, los grupos de ransomware han dejado de lado los eventos de compromiso
masivo de vulnerabilidades para pasar a utilizar métodos «fiables y
repetibles» para obtener acceso a las redes de las víctimas.
Estas tácticas incluyen el uso de credenciales débiles en cuentas de VPN y
de puerta de enlace que no están protegidas por autenticación multifactor
(MFA).
Los investigadores observaron que esta actividad comenzó a afianzarse en la
segunda mitad de 2023 y se extendió ampliamente entre los operadores de
ransomware y los Intermediarios de Acceso Inicial (IAB) a lo largo de 2024.
El informe destacó un manual de entrenamiento de ransomware escrito por un IAB
que se filtró en el verano de 2023 y que enfatizaba este cambio. El manual
aconsejaba que, en lugar de centrarse en descubrir la próxima vulnerabilidad
Zero-Day, los actores de ransomware deberían implementar herramientas para
buscar nombres de usuario predeterminados como «admin» o
«test» y probar combinaciones de contraseñas comunes para descubrir
credenciales débiles a las que apuntar.
En 2024 no se detectó ni una sola vulnerabilidad que provocara ataques masivos
de ransomware. Se trata de una marcada diferencia con respecto a 2023, cuando
una parte importante de la actividad de los sitios de filtración de ransomware
se atribuyó a ataques en productos de software comunes, como el software de
transferencia de archivos MOVEit y GoAnywhere.
Varios grupos de ransomware se aprovecharon de dichas vulnerabilidades para
explotar al mayor número posible de víctimas en un corto período de tiempo.
Jason Rebholz, vicepresidente y responsable de riesgos cibernéticos de la
empresa de seguros Travelers, comentó:
«Según nuestras observaciones, está claro que las técnicas de ataque
básicas siguen siendo muy eficaces para los grupos de ransomware».
Es fundamental que las empresas implementen controles de seguridad probados,
como MFA, para que a los actores maliciosos les resulte mucho más difícil
llevar a cabo un ataque contra su organización.
El informe concluyó que la actividad de ransomware alcanzó niveles récord en
el cuarto trimestre de 2024, con 1.663 nuevas víctimas publicadas en sitios de
filtraciones. Esto representa un aumento del 32% en comparación con el tercer
trimestre de 2024, y el cuarto trimestre representa el nivel más alto de
actividad de ransomware registrado en un solo trimestre por la aseguradora,
eclipsando el tercer trimestre de 2023.
En noviembre se registró el mayor número de víctimas de sitios de filtraciones
de ransomware del trimestre, con 629. A esto le siguió un descenso relativo a
516 en diciembre.
Los investigadores dijeron que este patrón se alinea con las tendencias
históricas de mayor actividad a principios de la temporada navideña, seguida
de una disminución posterior a medida que avanza el nuevo año. A lo largo de
2024, se publicaron 5.243 víctimas de ransomware en sitios de filtraciones, un
aumento del 15% con respecto a los 4.548 incidentes registrados en 2023.
El informe también registró un aumento del 67% en los nuevos grupos de
ransomware formados en 2024 en comparación con 2023, con 55 nuevos grupos
observados el año pasado.
Esto indica una rápida proliferación de actores más pequeños y ágiles en el
ecosistema del ransomware tras la interrupción de los principales operadores
de ransomware como servicio (RaaS), como LockBit y Clop, por parte de las
fuerzas del orden.
RansomHub representó el mayor número de ataques en el cuarto trimestre de 2024
con 238, lo que representa el 14% del total. A esto le siguieron Akira y Play,
con 133 y 95 ataques, respectivamente.
Fuente:
Infosecurity