Informe de Barracuda revela la evolución de los patrones de ataque de ransomware

Informe de Barracuda revela la evolución de los patrones de ataque de ransomware

El tercer informe anual de Barracuda ha revelado que los ataques cibernéticos van en aumento y destaca que la seguridad es un riesgo importante para las empresas.

Barracuda ha publicado su tercer informe anual de investigación de amenazas sobre ransomware que analiza los patrones de ataque de ransomware que ocurrieron entre agosto de 2020 y julio de 2021.

El informe encontró que los ataques de ransomware aumentaron en 2021, con un aumento dramático en el número de ataques y que los montos de los rescates continuaron disparándose.

Los ciberdelincuentes también están ampliando sus objetivos, cambiando su enfoque a la infraestructura crítica y evolucionando hacia campañas de ataque de la cadena de suministro de software profundamente arraigadas, que pueden causar una devastación duradera.

La sombría perspectiva para el futuro del ransomware no deja a nadie a salvo del daño financiero o de los titulares aplastantes de la marca. Los delincuentes de ransomware están penetrando los cimientos de la economía digital, desde proveedores de software confiables hasta proveedores de servicios de TI. Muchos de estos ataques están dirigidos por un puñado de bandas de ransomware de alto perfil.

El análisis de Barracuda de los ataques de ransomware que ocurrieron entre agosto de 2020 y julio de 2021 mostró que REvil representó el 19% de los ataques y se sabe que DarkSide es la causa del 8%.

De hecho, los delincuentes han perfeccionado recientemente sus tácticas para crear un esquema de doble extorsión. Basan sus demandas de rescate en la investigación que realizan antes del ataque. Roban datos confidenciales de sus víctimas y exigen un pago a cambio de la promesa de no publicar ni vender los datos a otros delincuentes. Dado que no se puede confiar en los delincuentes, las víctimas que pagan a menudo son contactadas varios meses después y se les solicita otro pago para mantener en secreto los datos robados. Algunos delincuentes de ransomware aceptarán pagos, pero venderán los datos de todos modos.

Los investigadores de Barracuda identificaron y analizaron 121 incidentes de ransomware que ocurrieron entre agosto de 2020 y julio de 2021 y vieron un aumento del 64% en los ataques, año tras año.

Los ciberdelincuentes siguen atacando fuertemente a los municipios, la atención médica y la educación, pero los ataques a otras empresas están aumentando:

  • Los ataques a corporaciones, como infraestructura, viajes, servicios financieros y otras empresas, representaron el 57% de todos los ataques de ransomware entre agosto de 2020 y julio de 2021, en comparación con solo el 18% en el estudio de 2020.
  • Los negocios relacionados con la infraestructura representan el 10% de todos los ataques que estudió la empresa.
  • El monto del rescate está aumentando drásticamente y ahora la solicitud de rescate promedio por incidente supera los 10 millones de dólares. Un total del 8% de los incidentes tuvo una solicitud de rescate de menos de US $ 10 millones y el 14% de los incidentes tuvo una solicitud de rescate de más de US $ 30 millones.
  • Los ataques de ransomware se están generalizando en todo el mundo. Poco menos de la mitad (44%) de los ataques de los últimos 12 meses afectaron a organizaciones estadounidenses. En comparación, el 30% de los incidentes ocurrieron en EMEA, el 11% en países de Asia Pacífico, el 10% en América del Sur y el 8% en Canadá y México.

Los patrones de ataque de ransomware también están evolucionando.

Fleming Shi, CTO, Barracuda, dijo: “Los atacantes a menudo comienzan con organizaciones pequeñas que están conectadas a objetivos más grandes y luego van ascendiendo. Todos nosotros en la industria de la seguridad tenemos la obligación de convertir tecnología sofisticada en productos y servicios que los clientes puedan consumir fácilmente”.

Fleming Shi, director de tecnología, Barracuda

En lugar de depender simplemente de enlaces y archivos adjuntos maliciosos para entregar ransomware, los ciberdelincuentes están mejorando sus tácticas.

Primero, los atacantes encontrarán formas de robar credenciales a través de ataques de phishing y luego usarán las credenciales robadas para desafiar las aplicaciones web utilizadas por la víctima. Una vez que la aplicación se ha visto comprometida, el atacante puede introducir ransomware y otro malware en el sistema. Esto puede infectar su red y los usuarios de su aplicación.

Es importante tener en cuenta que las aplicaciones web tienen muchas formas, incluidas las que permiten a los usuarios trabajar desde casa. Un portal web para un segmento de su infraestructura de TI es tan peligroso como una aplicación SaaS completa. En múltiples ocasiones durante el año pasado, los atacantes aprovecharon la vulnerabilidad de una aplicación para hacerse con el control de la infraestructura de la aplicación y, finalmente, apuntar a los datos más valiosos para cifrarlos.

Desde la adopción más amplia de la criptomoneda, Barracuda también ha visto una correlación de mayores ataques de ransomware y mayores cantidades de rescate. Con una mayor represión contra bitcoin y el seguimiento exitoso de las transacciones, los delincuentes están comenzando a proporcionar métodos de pago alternativos, como la banda de ransomware REvil que solicita Monero en lugar de bitcoin.

Sin embargo, Barracuda también vio múltiples casos de víctimas que redujeron los pagos de rescate mediante el despliegue de tácticas de negociación. JBS negoció un pago de rescate de US $ 22,5 millones hasta US $ 11 millones y Brenntag, un distribuidor de productos químicos en Alemania negoció una demanda de rescate de US $ 7,5 millones hasta US $ 4,4 millones. La solicitud de rescate inicial puede no ser la solicitud final, por lo que si planean pagar, es importante que las víctimas de ransomware ejerzan sus opciones de negociación. El resultado puede ser un ahorro de millones.

Barracuda también está viendo que más organizaciones se niegan a pagar el rescate y eso probablemente está aumentando la solicitud inicial de rescate. A esta tendencia también le sigue una mayor colaboración con las autoridades y los negociadores de rescates. El FBI ha descubierto recientemente las carteras de bitcoins de DarkSide y ha podido recuperar algunos de los pagos de rescate y las autoridades han interrumpido los pagos a los afiliados del grupo de ransomware.

Son señales alentadoras en la lucha contra estos ciberataques.

Más allá de las acciones legales, Barracuda también ha visto a la Casa Blanca hablar directamente con los líderes mundiales y exigir acciones duras contra los ciberdelincuentes. Dada la naturaleza de alto perfil e impacto de los ataques recientes, en particular los ataques contra la infraestructura crítica, el gobierno de EE. UU. Ya no solo envía advertencias. Está dispuesto a emprender acciones serias incluso contra los estados nacionales si existen pruebas claras de cómplice o negligencia en la vigilancia de los ciberdelincuentes.

El primer paso para enfrentarse al ransomware es asumir que usted será víctima, es solo una cuestión de cuándo.

Lo siguiente que debe hacer es establecer el objetivo de no pagar el rescate. Con el objetivo establecido, debe implementar al menos los siguientes tres procedimientos para lograr ese objetivo.

1. Haga todo lo posible para evitar la pérdida de credenciales

Implemente capacidades anti-phishing en el correo electrónico y otras herramientas de colaboración, y capacite constantemente a sus usuarios para que conozcan la seguridad del correo electrónico.

2. Asegure sus aplicaciones y acceso

  • Además de usar MFA, también debe implementar la seguridad de las aplicaciones web para todas sus aplicaciones SaaS y puntos de acceso a la infraestructura.
  • Las vulnerabilidades de las aplicaciones a menudo están ocultas en el código de la aplicación o en la infraestructura de la aplicación subyacente. Por lo tanto, debe proteger sus aplicaciones de las 10 amenazas principales de OWASP.
  • Si tiene interacciones API en su aplicación, también debe asegurarse de estar cubierto por OWASP API Security Top 10. Junto con la protección de la aplicación, intente reducir la cantidad de acceso que brinda a sus usuarios siempre que pueda. Si puede, limítese a la menor cantidad de acceso que sus usuarios necesitan para ser productivos. Es mejor implementar Zero Trust Access en función de las posturas de seguridad de los endpoints.

3. Haga una copia de seguridad de sus datos

 Manténgase actualizado con una solución de protección de datos segura que puede identificar sus activos de datos críticos e implementar capacidades de recuperación y desastres. De esa manera, puede estar seguro de decir no a los delincuentes de ransomware.

A medida que los ciberdelincuentes están trabajando para conseguir mayores ingresos en el futuro, la industria de la seguridad debe seguir creando soluciones que sean fácilmente consumibles para empresas de todos los tamaños.

Los atacantes a menudo comienzan con organizaciones pequeñas que están conectadas a los objetivos más grandes y luego van ascendiendo.

Explore nuestro
último número

LATAM Spanish

Ver archivo de revistas