Mandiant acaba de hacer público un informe en el que revela un aumento alarmante del 75% en la actividad del ransomware en 2023. Aseguran los investigadores que los atacantes se están volviendo más sofisticados, utilizando herramientas legítimas como ScreenConnect para infiltrarse en las víctimas y recurriendo a tácticas como el «swatting» para extorsionar pagos.
Por otra parte, los expertos han descubierto más de 50 familias y variantes nuevas de ransomware, de las que aproximadamente un tercio eran variantes de familias ya identificadas. Concretamente se han identificado cinco familias de ransomware dominantes (ALPHV, LOCKBIT, BASTA, REDBIKE y PHOBOS). Esto sugiere que los cibercriminales podrían estar centrando sus esfuerzos en actualizar ransomware preexistente en lugar de crear nuevas variantes desde cero, y pone en evidencia que las soluciones de seguridad implementadas estén funcionando adecuadamente.
Una tendencia notable es que los atacantes utilizaron cada vez más herramientas comerciales legítimas, que tienen menos probabilidades de levantar sospechas inmediatas entre los objetivos, para llevar a cabo las intrusiones.
Ransomware: una amenaza rentable y persistente
El ransomware ha demostrado ser un negocio muy lucrativo para los ciberdelincuentes, con más de mil millones de dólares pagados en rescates durante 2023. Este resurgimiento se produce tras un año 2022 marcado por eventos geopolíticos y la reconfiguración de alianzas entre grupos de cibercriminales.
Las familias de ransomware más activas en 2023 incluyen ROYALLOCKER.BLACKSUIT, RHYSIDA y REDBIKE (también conocida como Akira). Cabe destacar que parte de la actividad podría deberse a la formación de nuevas alianzas o al cambio de marca por parte de actores de amenazas ya establecidos.
Los atacantes están implementando el ransomware con mayor rapidez. Aproximadamente el 15% de los incidentes en 2023 involucraron ransomware que se implementó dentro del día posterior al acceso inicial, y casi un tercio se implementó dentro de las primeras 48 horas.
Los vectores de acceso más comunes son las credenciales robadas y la explotación de vulnerabilidades en la infraestructura pública. Esto resalta la importancia de las medidas de seguridad sólidas y los planes de gestión de vulnerabilidades para las organizaciones.
Las organizaciones deben adoptar estrategias integrales de ciberseguridad para frustrar los ataques de ransomware cada vez más sofisticados. La amenaza del ransomware sigue evolucionando y adaptándose para superar las medidas defensivas, por lo que es fundamental estar alerta y tomar medidas proactivas para protegerse.
