Ransomware

Informe sobre el estado del ransomware de ThreatLabz 2022

Informe sobre el estado del ransomware de ThreatLabz 2022

Los ataques de ransomware aumentaron otro 80 % entre febrero de 2021 y marzo de 2022, según un análisis de las cargas útiles de ransomware vistas en la nube de Zscaler. Los ataques de doble extorsión, que incluyen la exfiltración de datos además del cifrado, están aumentando aún más rápidamente, un 117 % de un año a otro.

El informe Estado del ransomware de ThreatLabz 2022 desglosa la información de todo un año proveniente de una variedad de fuentes, incluidas más de 200 000 millones de transacciones diarias y 150 millones de amenazas bloqueadas a diario en todo Zscaler Zero Trust Exchange, y muestra que el ransomware se está volviendo aún más atractivo para los delincuentes. Los atacantes son capaces de emprender campañas cada vez más rentables basadas en tres tendencias principales: 

  • Ataques a la cadena de suministro que aprovechan las relaciones de confianza con los proveedores para vulnerar las organizaciones y multiplicar el daño de los ataques al permitir a los autores de la amenaza atacar a múltiples (a veces cientos o miles) de víctimas al mismo tiempo.
  • Ransomware como servicio que utiliza redes afiliadas para distribuir ransomware a gran escala, lo que permite a los hackers expertos en infringir redes compartir ganancias con los grupos de ransomware más avanzados.
  • Ataques de extorsión múltiple que utilizan el robo de datos, los ataques de denegación de servicio distribuido (DDoS), las comunicaciones con los clientes y otros métodos, como tácticas de extorsión por capas, para aumentar los pagos de rescate. Los ataques a la cadena de suministro, los ecosistemas de ransomware como servicio y las tácticas de extorsión múltiple han aumentado el volumen y las tasas de éxito de los ataques. 

En este informe, ThreatLabz ofrece una visión integral del panorama de amenazas de ransomware para proporcionar datos sobre las tendencias, predicciones y orientación en cuanto a la defensa. Nuestro informe incluye un análisis detallado de las secuencias de ataques, los perfiles de las víctimas y el impacto empresarial de las 11 principales familias de ransomware, entre las que se incluyen:

  • Conti   
  • LockBit   
  • PYSA/Mespinoza   
  • REvil/Sodinokibi   
  • Avaddon   
  • Clop   
  • Grief   
  • Hive   
  • BlackByte   
  • AvosLocker   
  • BlackCat/ALPHV

Cambio de porcentaje en los ataques de doble extorsión por sector

 

 Hallazgos clave

 

  • Los ataques de ransomware aumentaron en un 80 % con respecto al año anterior y representaron la totalidad de las cargas útiles de ransomware observadas en la nube de Zscaler.
     
  • El ransomware de doble extorsión aumentó un 117 %. Algunos sectores experimentaron un crecimiento especialmente elevado de los ataques de doble extorsión, como la sanidad (643 %), los servicios de alimentación (460 %), la minería (229 %), la educación (225 %), los medios de comunicación (200 %) y la industria manufacturera (190 %).
  • La industria manufacturera fue el sector que recibió más ataques por segundo año consecutivo, ya que supuso casi el 20 % de los ataques de ransomware de doble extorsión.
     
  • Los ataques de ransomware a la cadena de suministro van en aumento. Utilizar a los proveedores de confianza permite a los atacantes vulnerar un gran número de organizaciones a la vez, incluso organizaciones que en cualquier caso cuentan con sólidas protecciones contra ataques externos. Los ataques de ransomware a la cadena de suministro del año pasado incluyen campañas dañinas contra Kaseya y Quanta, así como una serie de ataques que explotan la vulnerabilidad de Log4j.
     
  • El ransomware como servicio está promoviendo más ataques. Los grupos de ransomware siguen reclutando afiliados a través de foros criminales clandestinos. Estos afiliados comprometen a grandes organizaciones y despliegan el ransomware del grupo, normalmente a cambio de alrededor del 80 % de los pagos de rescate recibidos de las víctimas. La mayoría (8 de 11) de las principales familias de ransomware del año pasado han proliferado habitualmente a través de modelos de ransomware como servicio.
     
  • Las fuerzas del orden están tomando medidas duras. Varias de las familias de ransomware más importantes del año pasado (sobre todo las que se dirigen a servicios críticos) atrajeron la atención de las fuerzas del orden de todo el mundo. En 2021, las fuerzas de orden público incautaron activos de las familias de ransomware más infames de los últimos dos años.
  • Las familias de ransomware no están desapareciendo, solo haciéndose un lavado de cara. Al sentir un aumento de presión por parte de las fuerzas del orden público, muchos grupos de ransomware se han disuelto y reformado bajo nuevas denominaciones, pero utilizan las mismas tácticas (o muy similares). 
     
  • El conflicto entre Rusia y Ucrania tiene al mundo en alerta máxima. Se han producido varios ataques asociados con el conflicto Rusia-Ucrania, algunos de los cuales combinan varias tácticas, como HermeticWiper y ransomware PartyTicket. Hasta ahora, la mayor parte de esta actividad se ha centrado en Ucrania. Sin embargo, los organismos gubernamentales han advertido a las organizaciones que se preparen para ataques más generalizados, ya que el conflicto persiste.
     
  • La confianza cero sigue siendo la mejor defensa. Para minimizar la posibilidad de que haya una brecha y el daño que puede causar un ataque exitoso, su organización debe utilizar estrategias de defensa en profundidad que incluyan la reducción de la superficie de ataque, la aplicación de un control de acceso con mínimos privilegios y la supervisión e inspección continua de los datos en todo el entorno.

 

 

Cómo protegerse contra el ransomware

Tanto si se trata de un simple ataque de ransomware, un ataque de doble o triple extorsión, una familia de amenazas autónoma o un ataque RaaS ejecutado por una red de afiliados, la estrategia de defensa es la misma: emplear los principios de la confianza cero para limitar las vulnerabilidades, prevenir y detectar los ataques, y limitar los efectos de las infracciones exitosas. A continuación se presentan algunas recomendaciones de buenas prácticas para proteger a su organización frente al ransomware:

  1. Saque sus aplicaciones de Internet. Los autores de ransomware comienzan sus ataques realizando un reconocimiento de su entorno, buscando vulnerabilidades que explotar y calibrando su enfoque. Cuantas más aplicaciones haya publicado en Internet, más fácil será de atacar. Utilice una arquitectura de confianza cero para proteger las aplicaciones internas, haciéndolas invisibles a los atacantes.
  2. Aplique una política de seguridad consistente para evitar verse comprometido inicialmente. Con un personal distribuido, es importante implementar una arquitectura de perímetro de servicio de seguridad (SSE) que pueda aplicar una política de seguridad consistente sin importar dónde trabajen sus usuarios (en la oficina o de forma remota). 
  3. Utilice sandboxing para detectar cargas útiles desconocidas. La detección basada en firmas no es suficiente ante la rápida evolución de las variantes y cargas útiles del ransomware. Protéjase contra los ataques desconocidos y evasivos con un sandboxing en línea impulsado por IA, que analiza el comportamiento en lugar del embalaje de un archivo.
  4. Implemente una arquitectura de acceso a la red de confianza cero (ZTNA). Implante una segmentación granular de usuario a aplicación y de aplicación a aplicación, e intervenga en el acceso mediante controles dinámicos de acceso con privilegios mínimos para eliminar el movimiento lateral. Esto le permite minimizar los datos que se pueden cifrar o robar, lo que reduce el efecto de un ataque. 
  5. Implemente la prevención de pérdida de datos en línea. Evite la exfiltración de información confidencial con herramientas y políticas de prevención de pérdida de datos basadas en la confianza para frustrar las técnicas de doble extorsión.
  6. Mantenga actualizados los programas informáticos y haga que la formación sea constante. Aplique parches de seguridad en el software y lleve a cabo capacitaciones periódicas de concienciación sobre seguridad para reducir las vulnerabilidades que pueden explotar los ciberdelincuentes.
  7. Tenga un plan de respuesta. Prepárese para lo peor con un ciberseguro, un plan de copia de seguridad de datos y un plan de respuesta como parte de su programa general de continuidad empresarial y recuperación de desastres.

Para maximizar las posibilidades de defenderse frente al ransomware, debe adoptar defensas en capas que puedan interrumpir el ataque en cada etapa, desde el reconocimiento hasta el compromiso inicial, el movimiento lateral, el robo de datos y la ejecución del ransomware.

Zscaler Zero Trust Exchange es una plataforma líder de perímetro de servicio de seguridad (SSE) que ofrece una protección inigualable frente al ransomware en todas las etapas de la cadena de ataque para reducir drásticamente sus posibilidades de recibir un ataque y mitigar posibles daños.

Zscaler integra de forma nativa capacidades de confianza cero líderes en el sector que:

  • Minimizan la superficie de ataque: la arquitectura nativa en la nube de Zscaler basada en proxy reduce la superficie de ataque al hacer que las aplicaciones internas sean invisibles para Internet, eliminando así los posibles vectores de ataque. 
  • Evitan el peligro: Zscaler ofrece una inspección y autenticación completas de todo el tráfico, incluido el cifrado, para mantener alejados a los actores maliciosos, aprovechando herramientas como el aislamiento del navegador y el sandboxing en línea para proteger a los usuarios de amenazas desconocidas y evasivas.
  • Eliminan del movimiento lateral: Zscaler conecta de forma segura a usuarios y entidades directamente a las aplicaciones, no a las redes, para eliminar la posibilidad de movimiento lateral y rodea sus aplicaciones principales con señuelos realistas por si acaso.
    Detienen la pérdida de datos: Zscaler inspecciona todo el tráfico saliente hacia las aplicaciones en la nube para evitar el robo de datos y utiliza las capacidades del agente de seguridad de acceso a la nube (CASB) para identificar y remediar las vulnerabilidades en los datos en reposo.

Para obtener más información sobre las principales amenazas de ransomware de la actualidad y sobre cómo proteger a su organización frente a ellas, descargue una copia gratuita del “Informe sobre el estado del ransomware de ThreatLabz 2022".

 

Acerca de ThreatLabZ

ThreatLabz es la división de investigación de seguridad de Zscaler. Este equipo de clase mundial es responsable de localizar nuevas amenazas y asegurar que las miles de organizaciones que utilizan la plataforma global de Zscaler estén siempre protegidas. Además de investigar el malware y analizar el comportamiento, los miembros del equipo participan en la investigación y el desarrollo de nuevos módulos prototipo para la protección contra amenazas avanzadas en la plataforma Zscaler y realizan regularmente auditorías de seguridad internas para garantizar que los productos y la infraestructura de Zscaler cumplen con los estándares de cumplimiento de seguridad. ThreatLabz publica regularmente análisis detallados de amenazas nuevas y emergentes en su portal, research.zscaler.com.

 

Manténgase informado sobre las investigaciones de ThreatLabz suscribiéndose a nuestro boletín Trust Issues (problemas de confianza) hoy mismo.

Manténgase informado sobre los últimos consejos y noticias en materia de transformación digital.

Al enviar el formulario, declara estar de acuerdo con nuestra política de privacidad.