Los actores de ransomware son cada vez menos | DKCERT
La cantidad de nuevas cepas de ransomware en circulación se ha reducido a más de la mitad en los últimos 12 meses.
Esto es lo que escribe The Register en un artículo en referencia a un nuevo informe de la empresa de seguridad Rapid7. En este, afirma que sólo se observaron 43 nuevas familias de ransomware en 2023, frente a las 95 del año anterior.
Al analizar estas cifras, Rapid7 cree que probablemente refleje que las capacidades de ransomware existentes se han vuelto más maduras y efectivas. El informe también detalla que se llevaron a cabo casi 5.600 ataques de ransomware entre enero de 2023 y febrero de 2024, de donde se derivan las cifras del informe. Se añade que se espera que la cifra sea significativamente mayor, ya que no se denuncian todos los ataques.
Los grupos más activos hasta febrero de 2024 son LockBit 3.0 o LockBit Black, que ha estado entre las organizaciones cibercriminales más prolíficas durante los últimos cuatro años, pero que al menos inicialmente fue sacada del juego por un gran esfuerzo internacional este invierno. Otro grupo conocido que se menciona como uno de los más activos en el informe es ALPHV/BlackCat, que también ha estado en el foco de atención después de una operación policial en la que se intentó derribar la infraestructura del grupo y arrestar a personas clave. Además, BianLian, Play, Medusa y Black Basta también figuran en la lista de las otras bandas más exitosas del año.
Será interesante ver si los esfuerzos contra LockBit y ALPHV/BlackCat han dado frutos y si habrá menos ataques de ransomware este año.
Métodos anticuados
El informe describe cómo los actores entraron y colocaron el ransomware. El vector de acceso inicial más común fue el uso indebido de la contraseña, que fue explotado en el 41 por ciento de los casos. La explotación de vulnerabilidades representó el 30 por ciento de los casos, mientras que los métodos de ingeniería social como el phishing representaron el 12 por ciento.
El informe también describe que hay un aumento de ataques donde se han aprovechado vulnerabilidades de día 0. Este tipo de ataque casi igualó en 2021 el «máximo histórico» del año pasado. La explotación de vulnerabilidades de día 0 causó más incidentes el año pasado que las denominadas vulnerabilidades de día n; n-día se refiere al período entre la divulgación de una vulnerabilidad y el parcheo de los sistemas afectados. Que se llame día n es una expresión del hecho de que es arbitrario cuando se solucionan las vulnerabilidades. Por el contrario, las vulnerabilidades de día 0 son vulnerabilidades en el software en las que no ha tenido días para actualizar sus programas.
Según Rapid7, esta es la segunda vez en tres años que esto sucede y, según Caitlin Condon, directora de inteligencia de vulnerabilidades de Rapid7, la razón es la rentabilidad del ciberdelito. «El cibercrimen es rentable y, como cualquier otro ecosistema financiero, la demanda de nuevos exploits de día 0 impulsa su desarrollo. Rapid7 ve regularmente publicaciones en la Dark Web solicitando nuevos exploits de día 0 para tecnologías populares como las VPN empresariales por más de 100.000 dólares. Un grupo de ransomware que puede generar más de 10 millones de dólares en términos de campañas de ataques globales puede darse el lujo de comprar u ordenar muchos nuevos exploits de día 0 hechos a medida”.
Finalmente, el informe dice que los datos sugieren que los atacantes buscan cada vez más dispositivos de red para lanzar sus ataques en el futuro. El número de exploits casi se duplicó el año pasado, y el 36 por ciento de todos los fallos generalizados se encontraron en dispositivos de red perimetral.
Enlaces:
https://www.theregister.com/2024/05/21/with_ransomware_whales_becoming_so/