Publica Group-IB su informe anual Tendencias de Crimen de Alta Tecnología que ofrece un análisis exhaustivo de cómo han evolucionado los retos de la ciberseguridad en Europa, donde los infostealers, o ladrones de información se han convertido en un tipo de malware problemática, capaz de infectar 250.000 sistemas y 647.485 hosts, un 23 % y 28 % más respectivamente que el año anterior.
Recoge también el informe que el número de ataques de ransomware aumentó cerca de un 52 % en Europa, dirigiéndose principalmente contra empresas de los sectores manufacturero, inmobiliario y de transporte. España fue el quinto país más atacado.
A lo largo de 2023, la región sufrió 108 ciberataques perpetrados por grupos de hackers patrocinados por Estados, fundamentalmente contra instituciones gubernamentales y militares. El informe también evidencia un descenso del 7% en el número de ofertas de venta de acceso inicial a redes comprometidas.
Por otra parte, la región europea fue el segundo escenario mundial de Amenazas Persistentes Avanzadas, o APTs. Ucrania fue la víctima fundamental de los ataques procedentes de Estado-nación, lo que probablemente refleja los actuales conflictos políticos en la región.
Las agrupaciones más destacadas que operaron en Europa fueron Lazarus, Mustang Panda, APT41 y Sandman (todos ellos de Asia Oriental), junto con APT28, BlackEnergy, Gamaredon, Turla y Callisto (en la región de la Comunidad de Estados Independientes (CEI)).
El ransomware siguió constituyendo una amenaza significativa para el mercado europeo. Una vez más, el continente se convirtió en la segunda región más atacada a nivel mundial después de Norteamérica, con 1.186 empresas, un 52 % respecto al año anterior.
En 2023, el sector manufacturero fue el más golpeado en Europa, acaparando el 16% de todas las empresas víctima, seguido de la industria inmobiliaria (8 %) y el sector del transporte (5 %).
LockBit fue el grupo de ransomware más activo en la región, siendo el responsable del 26 por ciento de los ataques, seguido de Play con el 9 por ciento y de Black Basta con el 7 por ciento
Los Initial Access Brokers (IAB), o Intermediarios de Acceso Inicial, que son aquellos que venden credenciales de acceso a redes corporativas en la internet oscura (IABs, por sus siglas en inglés), experimentaron una ligera desaceleración.
Según el informe de Group-IB, el acceso a redes corporativas en Europa fue puesto a la venta en 628 ocasiones, un 7 % menos que en 2022 (674 veces). Los 5 principales países europeos objetivo de los IABs fueron Reino Unido (111), Francia (83), España (70), Alemania (63) e Italia (62).
La oferta de acceso VPN disminuyó un 50%, mientras que las cuentas RDP aumentaron un 34%. En cuanto al acceso con privilegios de usuario, las ofertas se elevaron un 35% en 2023, lo que indica una mayor diferenciación de acceso por parte de las empresas o una falta de competencias entre los IABs. El IAB más activo en la región fue el actor de amenazas conocido como mazikeen, un nuevo agente, activo desde enero de 2023.
Los registros de los infostealers, o ladrones de información, se han convertido en una de las principales formas que tienen los ciberdelincuentes de acceder a las redes de las empresas. Se trata de un tipo de malware que recopila credenciales guardadas en los navegadores, datos de tarjetas bancarias, información de criptocarteras, cookies, historial de navegación y otra información de los navegadores instalados en los ordenadores infectados.
Por primera vez, España se convirtió en el objetivo prioritario de este tipo de ataque con un aumento de más del 42% en comparación con el año anterior. Raccoon, LummaC2 y RedLine Stealer son los ladrones de información más populares entre los ciberdelincuentes que atacan la región.
En 2023 se detectaron 386 nuevos casos de filtración de datos de dominios públicos en Europa. Como parte de estos incidentes, más de 292.034.484 millones de cadenas con datos de usuarios resultaron comprometidas. Francia, España e Italia fueron los países más afectados, con 64, 62 y 52 casos de filtración de datos, respectivamente.
Las direcciones de correo electrónico, los números de teléfono y las contraseñas suponen el mayor riesgo, ya que pueden ser utilizados por agentes de amenazas para diversos tipos de ataques.
