La cantidad de ataques de ransomware aumentó un 73% entre 2022 y 2023, según un nuevo estudio realizado por el Ransomware Task Force del Security Technology Institute.
RTF publicó el jueves el mapa global de incidentes de ransomware 2023 que detalla tendencias preocupantes en el panorama de amenazas. El informe incluye datos de eCrime.ch, que rastrea sitios públicos de violación de datos para bandas de ransomware como servicio (RaaS) utilizadas por los atacantes para obligar a las víctimas a pagar rescates.
Los autores Taylor Grossman, subdirector de seguridad digital del Security Technology Institute, y Trevone Smith, futuro asociado de seguridad digital de IST, escriben sobre la caza mayor, donde los grupos de ransomware atacan a organizaciones de alto valor (causando graves daños en el futuro). Ese impacto ha ido en aumento en el último año.
El informe de RTF también encontró que la construcción y la atención médica continuaron siendo los sectores más atacados el año pasado, y que las bandas de ransomware LockBit y Clop siguieron siendo los principales grupos de amenazas activas. Además, el informe citó datos de la firma de análisis blockchain Chainalies que muestran pagos récord de ransomware en 2023.
“Los datos muestran que habrá 6.670 incidentes de ransomware en 2023, un aumento interanual del 73% con respecto a 2022”, dijeron Grossman y Smith en su informe.
Al igual que otras organizaciones de ciberseguridad, RTF atribuye la disminución temporal de la actividad de ransomware en 2022 a las exitosas operaciones policiales y a la invasión rusa de Ucrania, y los actores de amenazas de la región probablemente se centraron menos en el ransomware y los ataques con motivación financiera.
Si bien 2023 fue un año importante para la actividad de ransomware, los autores advirtieron que los “efectos criminales fundamentales del modelo RaaS” solo serán más rentables con el tiempo. RaaS permite que incluso los ciberdelincuentes poco capacitados lancen ataques de ransomware al permitir a los afiliados comprar malware a los desarrolladores. Los afiliados también pueden trabajar con varias pandillas, lo que dificulta la atribución.
“El mapa de este año sigue demostrando la naturaleza persistente de muchos grupos de ransomware. Sin embargo, a medida que los ciberdelincuentes perfeccionan sus modelos RaaS, el tamaño, la frecuencia y la complejidad de los incidentes siguen aumentando”, escribieron Grossman y Smith.
RTF nombró a LockBit “el grupo de ransomware más 'estable' el año pasado”, a pesar de que los ataques de Clop a los clientes del producto MoveIt Transfer de Progress Software provocaron un aumento en la actividad de ransomware. El informe atribuye el éxito de Rockbit el año pasado a su capacidad de adaptación, entre otras cosas.
“Al adaptar continuamente nuestro modelo RaaS existente para atraer afiliados, explotar nuevas vulnerabilidades y mejorar nuestro software malicioso, LockBit ha logrado una coherencia donde otros grupos de ransomware han fallado”, afirma el informe.
LockBit se vio sumido en el caos por una operación policial conjunta en febrero que resultó en el arresto de dos presuntos pandilleros y la incautación de servidores, dominios, cuentas de criptomonedas y más de 1.000 claves de descifrado. Mientras LockBit intenta reanudar sus operaciones, el proveedor de ciberseguridad ha informado de una fuerte caída en su actividad este año.
Sin embargo, RTF destacó al grupo de ransomware 8Base como un ejemplo de un grupo exitoso que todavía depende de “medios tradicionales y relativamente simples”, como el phishing, para acceder a las organizaciones objetivo. 8Base se describe a sí misma como una empresa de pruebas de penetración para organizaciones víctimas. A pesar de estar activa durante más tiempo, la pandilla lanzó su primer sitio público de violación de datos el año pasado, según el informe.
En términos de organizaciones de víctimas, las industrias de la construcción y la salud continuaron ocupando los dos primeros lugares a nivel mundial. RTF rastreó 231 incidentes relacionados con la construcción, un aumento del 49% desde 2022. Además, 177 incidentes hospitalarios y relacionados con la atención sanitaria representan un aumento de casi el 99% respecto al mismo período.
Sin embargo, el número de incidentes contra empresas de servicios financieros aumentó un 149% y el desarrollo de software aumentó un sorprendente 332%.
“Los hallazgos sugieren que si bien las bandas de ransomware están aumentando la frecuencia de sus ataques, sus objetivos permanecen prácticamente sin cambios”, dice el informe.
Este informe detalla más las amenazas al sector de la salud. Grossman y Smith dijeron que los hospitales “tradicionalmente han valorado la confidencialidad de los datos por encima de la disponibilidad de los datos y la continuidad de la atención”. Sin embargo, advirtió que los hospitales no podían tolerar el tiempo de inactividad causado por los sistemas de cifrado, lo que los convertía en “los principales candidatos a pagar el rescate” para reanudar sus operaciones.
El informe también desglosa la actividad de ransomware por país, pero señala que muchos ataques no se denuncian, lo que podría distorsionar los datos.
“Los datos muestran incidentes de ransomware llevados a cabo por 66 grupos de ransomware en 117 países. Esto es un ligero aumento con respecto a 2022, pero los datos de eCrime para este período muestran que 105 países “Esto refleja la experiencia de ataques de 58 grupos de ransomware”, dice el informe.
El mapa global de incidentes de ransomware 2023 de RTF sigue informes similares de otras compañías, incluida Corvus Insurance, y revela un aumento significativo en la actividad de ransomware en 2023, que continúa hasta este año.
El Ransomware Task Force ha publicado datos sobre las tendencias observadas en ransomware de 2022 a 2023.
El impacto de LockBit en las perspectivas para 2024
Aunque el informe RTF se centra en la actividad de amenazas en 2023, los autores advirtieron que algunas tendencias podrían continuar este año. “A medida que nos adentramos en los últimos tres meses de 2024, veremos un aumento en las tácticas de 'gran juego' por parte de los grupos de ransomware (particularmente CL0P) a medida que los ciberdelincuentes se adapten y creen nuevas formas de extorsionar aún más a las víctimas de ransomware. Como se esperaba”, dice el informe. .
Grossman dijo a TechTarget Editorial que los operadores de ransomware comúnmente apuntan a aplicaciones de acceso remoto durante los ataques de caza mayor. También mencionó el cambio del cifrado de red a atacantes que dependen únicamente del robo de datos y ataques de extorsión como la campaña MoveIt Transfer de Clop. Grossman dijo que este cambio podría indicar cómo las organizaciones se están acercando a realizar copias de seguridad de sus datos y poder recuperarse más rápidamente de los ataques de ransomware tradicionales.
Si bien los ataques de robo de datos y las tácticas de extorsión cada vez más descaradas han demostrado ser exitosas, RTF continúa generando ingresos significativos incluso cuando las bandas de ransomware utilizan técnicas estándar como el phishing y el compromiso del correo electrónico empresarial, dijo Grossman.
También enfatizó que es probable que las cifras reportadas sean aún menores debido a ataques no reportados. “Uno de los grandes objetivos de nuestro trabajo en general es centrarse en el siguiente mejor ecosistema de información que tenemos aquí”, dijo Grossman. “Aquí en Estados Unidos, con la aprobación de la CIRCIA (Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas), que busca establecer mecanismos de informes más sólidos, estamos empezando a ver[esta falta de transparencia comienza a desaparecer]. .”
Grossman dijo que la Iniciativa Internacional Anti-Ransomware, un esfuerzo liderado por Estados Unidos lanzado en 2021, es fundamental para contrarrestar el creciente éxito del modelo RaaS. Dijo que es importante centrarse en el ransomware como una amenaza específica y comenzar a invertir más en esfuerzos de respuesta y mejores informes para tener una mejor idea de cuán prevalente es la amenaza.
Es difícil decir si la actividad de ransomware de este año está en camino de igualar el aumento del 73% en 2023, dijo Grossman, pero la amenaza claramente continúa causando problemas a las organizaciones víctimas. Señaló las medidas policiales tomadas contra Rockbit a principios de este año como un aspecto que podría tener un impacto significativo en las cifras de 2024.
“LockBit es un grupo muy estable en el sentido de que realiza muchos ataques y es consistentemente uno de los atacantes de ransomware más prolíficos. “Hay mucha discusión y debate sobre la efectividad general de la aplicación de la ley y cómo eso podría conducir a una reorganización y cambio de marca del grupo”, dijo. “¿Podrían estas eliminaciones realmente afectar la confianza dentro de la comunidad de ransomware como servicio? Definitivamente prestaremos atención a eso”.
Arielle Waldman es redactora de noticias editoriales de TechTarget que cubre seguridad empresarial.
https://www.techtarget.com/searchsecurity/news/366611898/Ransomware-Task-Force-finds-73-attack-increase-in-2023
