El problema del ransomware sigue en crecimiento y con más éxito para los atacantes, según muestra el informe Ransomware Radar Report 2024 de Rapid7.
El informe revela que el número de ataques y fugas de datos ha aumentado en 2024, superando los niveles ya altos de 2023. En la primera mitad de 2024, Rapid7 rastreó más de 2.570 incidentes de ransomware, lo que equivale a más de 14 ataques públicos por día. Debido a que muchos incidentes no se reportan, el número real de ataques podría ser significativamente mayor.
Más Grupos, Menos Familias, Más Ataques
Una tendencia preocupante es el aumento en el número de grupos de ransomware activos, mientras que el número de familias de ransomware únicas ha disminuido. Esto sugiere una especialización y una mayor efectividad en los ataques. En los primeros seis meses de 2024, Rapid7 identificó 21 nuevos grupos de ransomware, algunos completamente nuevos y otros rebrandings de grupos conocidos.
Entre los nuevos actores destaca el grupo RansomHub, que ha publicado 181 posts en su sitio de fugas desde su aparición en febrero de 2024. En contraste, el grupo LockBit, que dominó gran parte de la actividad de ransomware en los últimos años, mostró una disminución en su actividad en junio, coincidiendo con la obtención de 7.000 claves de descifrado por parte del FBI.
Doble Extorsión: La Nueva Norma
La doble extorsión, que combina el cifrado de datos con la exfiltración y publicación de información confidencial, se ha convertido en la norma. Christiaan Beek, director senior de análisis de amenazas en Rapid7, comentó: «El ransomware solo de cifrado casi no existe más; hoy todo es doble extorsión». Esta estrategia ha llevado a un aumento en el número de publicaciones en sitios de fugas, con un incremento del 23% en comparación con el mismo período en 2023.
Objetivos Principales: Empresas Medianas
Una observación clave del informe es que las empresas con ingresos anuales de alrededor de 5 millones de dólares son el blanco principal de los brokers de acceso en foros clandestinos. Estas empresas son lo suficientemente grandes para tener datos valiosos, pero no tan protegidas como las corporaciones más grandes.
Nuevos Métodos de Ataque
El informe detalla los métodos utilizados para obtener acceso inicial a las redes corporativas. El Protocolo de Escritorio Remoto (RDP) sigue siendo el método de acceso más común, seguido por las VPNs. La falta de autenticación multifactor y la no aplicación de parches críticos siguen siendo vulnerabilidades explotadas frecuentemente.
La Sofisticación del Código de Ransomware
Rapid7 también analizó el código de ransomware, utilizando el índice de similitud de Jaccard y el Machoc Hash, una herramienta introducida por la Agencia de Ciberseguridad Francesa. Estos métodos permitieron identificar similitudes entre diferentes familias de ransomware, sugiriendo posibles colaboraciones o intercambio de código entre grupos de atacantes.
Implicaciones para la Ciberseguridad
El informe subraya la necesidad de que las organizaciones mejoren sus prácticas básicas de ciberseguridad. Beek enfatiza: «El vector de ataque número uno sigue siendo la falta de implementación de la autenticación multifactor o hacerlo de manera incorrecta. Y seguimos dejando la puerta abierta al no parchear vulnerabilidades críticas».
Conclusión
El panorama del ransomware en 2024 es alarmante. La sofisticación y la frecuencia de los ataques siguen aumentando, poniendo a las organizaciones bajo una presión constante para mejorar sus defensas. La especialización de los ataques y la adopción de técnicas de doble extorsión indican que los cibercriminales están perfeccionando sus métodos y herramientas. Para combatir eficazmente esta amenaza, es crucial que las empresas refuercen sus medidas de seguridad básicas y adopten tecnologías avanzadas de prevención y respuesta.
