El desenmascaramiento del hombre que estaba detrás de la famosa banda de ransomware LockBit por parte de las agencias de seguridad del Reino Unido, EE.UU. y Australia podría haber proporcionado un respiro muy necesario a muchas víctimas de ataques de ransomware.
Aunque la noticia hará temblar a otras bandas de ransomware que se esconden bajo diferentes alias y proporcionará a las agencias de ciberdefensa una buena pista de investigación, también habla del hecho de que los ataques de ransomware han sido una amenaza persistente durante años, que se niega a desvanecerse en el fondo a pesar de nuestros mejores esfuerzos.
Muchos informes sugieren un preocupante aumento de los ataques, hasta el punto de que ciertos grupos de ransomware se están rebautizando como socios comerciales.
Pero, ¿hasta qué punto se ha agravado la situación, y qué nuevas estrategias les esperan en 2024?
Techopedia examina datos recientes y se sienta con voces de la ciberseguridad para debatir el tema.
Puntos clave
- Hay un cambio notable hacia la “doble extorsión” en 2024, donde los actores del ransomware no sólo cifran los datos, sino que también amenazan con filtrar o vender los datos robados si no se satisfacen las peticiones de rescate.
- Las aplicaciones web se han convertido en el principal punto de entrada de los ciberataques, ya que a menudo son creadas por ingenieros no especializados en seguridad y deben ser de acceso público.
- Los expertos recomiendan un enfoque multicapa que combine la seguridad de los puntos finales, los controles de exfiltración de datos, la planificación de la respuesta a incidentes y la supervisión continua de las amenazas.
- Se recomiendan las simulaciones de autoataques y los ejercicios de adversarios contra la propia infraestructura de una organización para encontrar puntos débiles explotables antes de que lo hagan los atacantes.
- Es crucial investigar las prácticas de ciberseguridad de terceros y el riesgo de la cadena de suministro, ya que un número cada vez mayor de infracciones proceden de socios y proveedores.
El ransomware sigue golpeando más fuerte que nunca en 2024
Según una encuesta realizada por Thales en 2024 a 3.000 profesionales de TI y seguridad de 18 países y 37 sectores, los ataques de ransomware aumentaron un 27% más que el año pasado. La encuesta también muestra que, a pesar de la creciente amenaza, cerca de la mitad de las organizaciones encuestadas no contaban con ningún plan integral contra el ransomware entre sus mejores prácticas de seguridad.
Corroborando las observaciones anteriores, el Informe sobre investigaciones de filtraciones de datos (DBIR) 2024 de Verizon reveló un repunte significativo de los ataques que aprovechan las vulnerabilidades para hacerse un hueco inicial y desencadenar filtraciones de datos.
El informe destaca un aumento del 180% de este tipo de ataques en comparación con el año anterior. Estas violaciones también incluyen las asociadas a problemas de infraestructura de socios y de la cadena de suministro de software, tanto directa como indirectamente.
Esta escalada, según Verizon, se atribuye en gran medida a la explotación de MOVEit y otras vulnerabilidades similares de día cero. El informe identifica además las aplicaciones web como el principal vector de estos puntos de entrada iniciales.
Además de estos nuevos hallazgos, Techopedia informó recientemente de un nuevo patrón en el espionaje de ransomware, según el cual las bandas de ransomware ahora se asocian para orquestar ciberataques desde un solo frente. Este enfoque hace que estas bandas sean más difíciles de localizar, lo que pone aún más a prueba a las fuerzas de seguridad, que pueden tener que ir más allá de su capacidad para pescarlas.
Las violaciones de ransomware implican ahora tácticas de extorsión
También hay un cambio notable en las estrategias de los actores tradicionales del ransomware hacia técnicas de doble extorsión. Según el informe DBIR de Verizon, los ataques de extorsión han aumentado en el último año, representando el 9% de todas las violaciones. Aunque se produjo un ligero descenso del ransomware al 23%, cuando se combinan con la extorsión, representan un significativo 32% de las violaciones, lo que convierte al ransomware en una amenaza importante en el 92% de los sectores.
Haciéndose eco de estas preocupaciones, un reciente Informe de Flashpoint sobre Inteligencia de Amenazas Globales arrojó luz sobre la evolución de las tácticas de los ciberdelincuentes, que ahora no sólo cifran datos y exigen rescates, sino que también amenazan con filtrar o vender la información robada si no se satisfacen sus demandas. Esta táctica de “doble extorsión”, según Flashpoint, presiona aún más a las víctimas para que suelten el dinero.
En declaraciones a Techopedia al respecto, Ryan Westman, Director de Inteligencia sobre Amenazas de eSentire, señaló que la atención a la doble extorsión comenzó cuando las empresas reforzaron sus programas de protección y recuperación de datos.
Westman explicó:
“Cuando las empresas dispusieron de programas de protección y recuperación de datos, los ciberdelincuentes añadieron a su enfoque métodos de robo y filtración de datos. Esto implica el robo de datos antes de la encriptación, y luego la amenaza de la publicación de los datos en línea, así como el lado de la encriptación. Se trata de un riesgo adicional que las empresas deben tener en cuenta en su planificación de la seguridad y la respuesta a incidentes”.
Los autores de ransomware están evolucionando sus tácticas, aprovechando la debilidad de los controles de exfiltración de datos en muchas organizaciones, dijo a Techopedia Elisha Riedlinger, COO de NeuShield.
Riedlinger dijo:
“A medida que aumenta la seguridad, a los atacantes les resulta cada vez más difícil pedir un rescate por los datos cifrándolos. Sin embargo, los controles para la exfiltración siguen siendo débiles en muchas organizaciones. Además, aunque muchas empresas no paguen para recuperar datos cifrados, sí pueden pagar para mantener sus datos fuera de Internet. Además, el robo de datos puede hacerse sin utilizar ninguna forma de malware o código malicioso, lo que lo hace mucho más difícil de detectar.”
Las aplicaciones web son los principales puntos de entrada
Las aplicaciones web se han convertido en los principales puntos de entrada de los ciberataques en 2024, según destaca el DBIR de Verizon. Esta tendencia, según Riedlinger, no es sorprendente, dado que estas aplicaciones suelen ser creadas por ingenieros no preocupados por la seguridad.
Se lo dijo a Techopedia:
“Las aplicaciones web tienden a estar orientadas a Internet, ser complicadas y estar creadas por equipos de ingenieros no centrados en la seguridad. Todo ello las convierte en un buen objetivo para los ataques”.
La adopción generalizada de aplicaciones web es la culpable de esta nueva oleada de riesgos para la ciberseguridad, según declaró a Techopedia Adam Maruyama, Field CTO de Garrison Technology.
Maruyama señaló:
“Las aplicaciones web son un blanco fácil para los hackers porque, por definición, están a disposición de cualquiera con acceso a Internet abierto. Aunque esto facilita el acceso a los empleados, también significa que, por ejemplo, una interfaz de inicio de sesión vulnerable estaría disponible para cualquiera con conexión a Internet”.
Y añadió: “Esto facilita mucho el reconocimiento de los ataques y reduce las barreras, de modo que los ataques de “rociar y rezar” que tienen como objetivo cualquier servicio vulnerable, en lugar de empresas concretas, son bastante sencillos de ejecutar.”
Para Matt Middleton-Leal, de la empresa de ciberseguridad Qualys, un control de acceso deficiente para las aplicaciones web y los recursos en la nube es una de las principales amenazas a las que se enfrentan los equipos de TI, ya que los hackers suelen centrarse en las credenciales para obtener el acceso inicial.
“Es una práctica habitual que los hackers busquen credenciales como parte de sus rutas de ataque, ya sea encontrando credenciales enterradas en repositorios de software públicos, o como segunda etapa para acceder a las instancias en la nube de una empresa con el fin de obtener más acceso y luego moverse lateralmente hacia donde existen datos valiosos”.
Middleton-Leal añadió que las aplicaciones web son vulnerables, ya que muchas deben ser de acceso público. “Algunas tienen que estar en la Internet pública. Utilidades como las aplicaciones de transferencia de archivos pueden ser utilizadas por tus socios o clientes para transferir archivos, así como por tu personal interno, por lo que bloquearlas para que no estén a la vista no es una opción.”
El mejor camino para la ciberseguridad
Se pueden decir muchas cosas sobre las mejores prácticas para protegerse contra el ransomware, pero las organizaciones deben tomar primero medidas preventivas, señala Riedlinger, de NeuShield.
Aconseja:
“Las organizaciones deben implantar una seguridad en los puntos finales que sea capaz de detectar, registrar y bloquear la actividad maliciosa. Sin embargo, no deben asumir que la prevención por sí sola resolverá el problema. Es vital tener la capacidad de asegurar sus datos más críticos contra la exfiltración y tener la capacidad de recuperar rápidamente todos los dispositivos en caso de que se vean comprometidos.”
“El primer paso es asegurar los dispositivos periféricos, aplicar parches rápidamente y restringir el acceso a los recursos al mínimo necesario”, afirma Westman, de eSentire.
También recomienda planificación y preparación, afirmando que “también debes preparar tu estrategia de respuesta a incidentes para que puedas ser proactivo sobre cómo minimizar el impacto de un ataque”. Otras medidas cruciales incluyen la mejora de tu enfoque de inteligencia de amenazas mediante la vigilancia de la web oscura en busca de credenciales filtradas u otras formas de acceder a tus sistemas.”
Stephen Gates, principal experto en seguridad de Horizon3.ai, subraya la necesidad de que las organizaciones pasen a la ofensiva contra las amenazas de ransomware.
Gates declaró a Techopedia:
“Las organizaciones deben encontrar sus puntos débiles explotables antes de que lo hagan los atacantes, y atacarse a sí mismas con las mismas tácticas”.
Citó al Departamento de Marina de EE.UU. y a la Red de Información del Cuartel General de las Fuerzas Conjuntas-Departamento de Defensa, que abogan por que “las organizaciones deben pasar de una seguridad basada en el cumplimiento a una seguridad basada en la preparación operativa”. La mejor forma de medir la preparación operativa es realizar ejercicios adversarios manuales y automatizados contra tus propias infraestructuras externas, internas y en la nube”.
Dado que una tendencia creciente de las brechas de seguridad se originan en terceros o socios dentro de la cadena de suministro de una organización, Kiran Chinnagangannagari, Cofundador, Director de Producto y Tecnología de Securin insta a las organizaciones a llevar a cabo la diligencia debida en torno a las prácticas de ciberseguridad de cada socio.
“Teniendo esto en cuenta, las organizaciones deben dar prioridad a investigar las prácticas de ciberseguridad de sus socios. Un enfoque eficaz es pedir a los socios que rellenen un cuestionario de seguridad estandarizado basado en marcos como el Marco de Ciberseguridad (CSF) del NIST o la ISO 27001. Estos marcos delinean las mejores prácticas en ciberseguridad y facilitan la autoevaluación”.
Lo esencial
Los ataques de ransomware existen desde hace muchos años, y nada indica que vayan a desaparecer. Teniendo esto en cuenta, las organizaciones deben prepararse lo suficiente para contrarrestar estos ataques en la medida de lo posible, al tiempo que disponen de un plan de respuesta posterior a la incidencia en caso de que sean víctimas.
Algunos de los expertos en ciberseguridad con los que hablamos ya destacaron los primeros pasos para apuntalar las defensas y otros enfoques que podrían ayudar a poner a las empresas en la mejor forma posible contra los ataques de ransomware.
Aunque es posible que las mejores prácticas ofrecidas anteriormente no encajen en la postura y las políticas de ciberseguridad de todas las organizaciones, se aconseja a éstas que busquen estrategias más adaptadas al sector, ya que el coste de no hacer nada es muy caro.