La crisis del ransomware está aumentando con los actores de amenazas que evolucionan y mejoran meticulosamente sus TTP. El aumento de los ataques y las contramedidas adoptadas por las autoridades policiales en los últimos tiempos ha llevado a los operadores de ransomware a desarrollar sus estrategias.
¿Que esta pasando?
- Los operadores de ransomware están aprovechando otras organizaciones delictivas, como los distribuidores de troyanos, para el desarrollo de malware.
- Estos distribuidores se denominan facilitadores de acceso y proporcionan puertas traseras a las víctimas a través de archivos adjuntos maliciosos o enlaces enviados por correo electrónico.
- Proofpoint ha rastreado al menos a 10 actores de amenazas que utilizan facilitadores de acceso o afiliados de ransomware.
¿Por qué eso importa?
Las campañas de ransomware ahora rara vez se propagan a través de correos electrónicos debido a las capacidades de detección mejoradas, como una mejor búsqueda de amenazas. El cambio a los descargadores como carga útil de la primera etapa ofrece a los operadores de ransomware una mejor flexibilidad y opciones.
Algunas estadísticas de ransomware
Al hablar de estrategias de ransomware, sería una blasfemia si no miramos las últimas estadísticas de ransomware que dominan el panorama de amenazas.
- En los últimos dos meses, África fue testigo de un aumento del 38% en los ataques de ransomware, seguida de Europa con un 27%.
- Desde principios de año, los ataques de ransomware aumentaron un 41%. América Latina observó el aumento más significativo en los intentos de ransomware con un 62%, seguida de Europa con un 59%.
- Los picos más altos se han observado en educación (347%), transporte (186%), venta minorista y mayorista (162%) y atención médica (159%). Todos estos valores se basan en ataques semanales.
Otras estrategias a tener en cuenta
- Otra estrategia adoptada por los atacantes de ransomware es la de doble cifrado en la que están utilizando varias variantes de ransomware para cifrar los mismos datos.
- Con el tiempo, los atacantes han creado nuevas cepas de ransomware y malware personalizado. Un actor de amenazas implementó una nueva cepa de Fivehands que utilizó herramientas disponibles públicamente para avanzar en el ataque. Los expertos suponen que el actor es UNC2447.
Conclusiones
Las amenazas basadas en correo electrónico definitivamente se han convertido en una cosa del pasado desde principios de este año. Los actores de amenazas confían en el reconocimiento generalizado, el movimiento lateral y las técnicas de escalada de privilegios antes de implementar manualmente el ransomware. El ciberdelito ha ganado terreno debido a los tiempos de permanencia más cortos, la colaboración entre los actores de amenazas y los altos pagos. Si bien las autoridades policiales de todo el mundo han anunciado nuevos esfuerzos para frenar esto, todas las organizaciones deben tomarse en serio la seguridad cibernética, independientemente de su tamaño.