Según SpyCloud, el ransomware se considera la amenaza de ciberseguridad número uno en todas las industrias, y el 75% de las organizaciones se vieron afectadas por ransomware varias veces en los últimos 12 meses. Se trata de un fuerte aumento desde el 61% en 2023.
El secuestro de sesiones está aumentando como amenaza de ransomware
Las herramientas y soluciones tradicionales, como los antivirus y MFA, no son infalibles. La omisión de MFA mediante el secuestro de sesiones se considera la principal amenaza de ransomware emergente para las organizaciones afectadas por ransomware en el último año, y al menos el 54 % de los dispositivos infectados con malware de robo de información no tenían instalada ninguna solución antivirus o de detección y respuesta de endpoints (EDR). En el momento.
A pesar de esto, los encuestados aún citaron la MFA como la segunda medida más común para la remediación de malware, lo que indica la necesidad de nuevas estrategias.
Basándose en la recaptura de datos de malware relacionados con industrias estudiadas por SpyCloud y ataques de ransomware anteriores, SpyCloud predice que las industrias de seguros y atención médica correrán el mayor riesgo de sufrir ataques de ransomware en 2024. Lo estoy haciendo.
Seguros: 6,3 veces más probabilidades de ser atacado por ransomware Salud: 2,1 veces más probabilidades de ser atacado por ransomware
Los CIO, CISO y otros ejecutivos de seguridad de TI (91%) tienen casi el doble de confianza que los profesionales de seguridad (54%) en la capacidad de sus organizaciones para prevenir un ataque de ransomware a gran escala. Esto apunta a una alarmante desconexión entre los tomadores de decisiones clave y los equipos de primera línea cuando se trata de prepararse para esta costosa amenaza.
“Los operadores de ransomware están explotando cada vez más los datos extraídos de los ladrones de información, como las cookies de sesión, dejando claro que las defensas tradicionales ya no son suficientes”, dijo el CPO de SpyCloud, Damon Fleury. “Las organizaciones deben adoptar un enfoque centrado en la identidad para la remediación de malware y la prevención de ransomware. Esto significa extender la protección más allá del dispositivo y abordar directamente las identidades digitales expuestas. Para detener las tácticas en evolución de los ataques de ransomware antes de que se intensifiquen, el primer paso es comprender qué. Los delincuentes ya han robado datos y el segundo paso es identificar rápidamente las credenciales comprometidas. Debe remediar y finalizar las sesiones web robadas (incluido el acceso a aplicaciones SSO, VPN y SaaS).
Organizaciones que pagan más rescates
Dado el éxito de los operadores de ransomware, no es de extrañar que haya aumentado el número de organizaciones encuestadas que se han visto afectadas por ransomware en los últimos 12 meses. De hecho, más del 90% de las organizaciones informan haber sido afectadas por ransomware el año pasado, frente al 81% en 2023. “Afectado” en este contexto significa que el equipo ha asignado recursos para hacer frente a un intento de ransomware o un ataque a gran escala.
Además, los datos muestran un aumento significativo en el número de organizaciones que pagan rescates en comparación con el año pasado: 62% este año y 48% el año pasado. Sin embargo, sólo alrededor de un tercio de estas organizaciones pudieron recuperar completamente sus datos. Este es un fuerte recordatorio de que ceder a las demandas de los ciberdelincuentes es una apuesta y las probabilidades no siempre son altas.
Además de los rescates pagados, el costo general de los ataques de ransomware continúa aumentando: más del 44% de las empresas incurre en costos totales de $1 millón o más, en comparación con el 39% del año pasado. Estos costos pueden incluir interrupciones generales, pérdida de negocios, pérdida de productividad y daños a la reputación, todo lo cual puede causar estragos en los resultados de una organización.
Aumento del malware de robo de información y exposición de identificaciones digitales
Los ciberdelincuentes han recurrido a tácticas de próxima generación, utilizando malware de robo de información (o “robadores de información”) para desviar datos de identidad digital, detalles de autenticación y cookies de sesión de usuarios infectados, y utilizar esta información para ejecutar operaciones de ransomware vendidas a personas. Casi todos los encuestados (99,8%) están preocupados por esta tendencia.
El 61% de todas las filtraciones de datos del año pasado estuvieron relacionadas con malware, y los ladrones de información robaron 343,78 millones de credenciales. Una de cada cinco personas es víctima de una infección de robo de información. En promedio, entre 10 y 25 credenciales de aplicaciones comerciales de terceros se ven comprometidas por cada infección, lo que crea un terreno fértil para un mayor acceso y explotación por parte de los operadores de ransomware. Esto, combinado con el aumento explosivo de las violaciones de identidad digital en los últimos años, ha creado una situación en la que los ciberataques dirigidos, como el ransomware, están aumentando rápidamente.
Los encuestados calificaron el acceso de terceros como el segundo punto de entrada más común para el ransomware, y el 82% estaba muy o muy preocupado por el riesgo que representan los dispositivos de terceros. Los profesionales de la seguridad de los sectores tecnológico y manufacturero son los más preocupados.
Los equipos de seguridad a menudo tienen poca o ninguna visibilidad de los riesgos que plantean estos puntos finales, lo que dificulta que las organizaciones se defiendan adecuadamente. Para exacerbar aún más el problema, los participantes de la encuesta citaron la detección de dispositivos no administrados y de terceros infectados con malware como la capacidad que más falta en las organizaciones actuales.
Los equipos de seguridad refuerzan la respuesta a las infecciones de malware
Si bien existe un acuerdo global en que es necesario hacer más para abordar el problema del robo de información, las investigaciones muestran que las organizaciones están logrando avances. Actualmente, las principales acciones diarias que toman los equipos de seguridad en respuesta a infecciones de malware en dispositivos infectados son investigar el incidente (79%), restablecer contraseñas para aplicaciones potencialmente expuestas (77%), intentos de eliminación de malware (67%).
Los restablecimientos de contraseñas han aumentado significativamente año tras año (frente al 64% en 2023), lo que puede ser una señal positiva de madurez. Sin embargo, los reinicios y borrados de “fuerza bruta” no resuelven el problema más amplio de los datos robados y el acceso en manos equivocadas. Revisar los registros para analizar las exposiciones y determinar la ruta de remediación requerida debe ser una máxima prioridad. Pero hay incluso menos equipos de seguridad que hacen esto que antes. Este año es sólo el 55% y el año pasado fue el 73%.
“Para combatir completamente el ransomware y otras amenazas graves, las organizaciones deben implementar medidas de remediación posteriores a la infección, como restablecer las credenciales de las aplicaciones y deshabilitar las cookies de sesión robadas por el malware de robo de información. Necesitamos adoptar una estrategia de múltiples capas que incluya:
MFA bypass becomes a critical security issue as ransomware tactics advance
