Ivanti publica su informe de Ransomware 2021 en el cual muestra los objetivos principales del ciberataque por excelencia del año.

2021 se despidió siendo el año que más ataques de corte ransomware registró. Además a estos ciberataques debemos añadir el hecho de haber sido completamente descentralizados. Los ciberdelincuentes no han sido especialmente selectivos, sino que han apuntado a diversos sectores. Una vez que el año ha llegado a su fin, muchas empresas han publicado informes registrando todo lo que se ha visto en 2021. Una de ellas ha sido Ivanti, proveedor de la plataforma de automatización Ivanti Neurons. La compañía ha hecho públicos los resultados del informe Ransomware Spotlight 2021 Year End  Report, realizado en colaboración con Cyber Security Works, CNA y Cyware, proveedor líder de Cyber Fusion. El informe identificó 32 nuevas familias de ransomware en 2021, elevando la cifra total hasta los 157; esto supone un aumento del 26% en relación a lo visto en el año 2020. Ivanti publica su informe de Ransomware 2021.

Con 157 familias de ransomware que explotan 288 vulnerabilidades, los grupos de ransomware están dispuestos a realizar ataques masivos en los próximos años. Además, según Coveware, las empresas pagan en la actualidad una media de 220.298 dólares y se someten a 23 días de inactividad tras un ataque de ransomware. Esto exige que se haga un mayor énfasis en la ciberhigiene. De cara al futuro, la automatización de la ciberhigiene será cada vez más importante, especialmente a medida que los entornos aumenten su complejidad. Por supuesto, el informe de Ivanti ha tratado otros aspectos de gran relevancia. Uno de ellos es que los ataques ransomware siguen centrándose en las vulnerabilidades no parcheadas, y utilizan como método de ataque las vulnerabilidades «Zero Day” en un tiempo récord. Todo ello ha provocado ataques devastadores. Además, han ampliado sus áreas de actuación y encontrado nuevas formas de vulnerar las infraestructuras de las empresas.

Principales observaciones y tendencias del Informe Ransomeware Spotlight 2021 Year End Report

• Las vulnerabilidades no parcheadas siguen siendo los vectores de ataque más importantes explotados por los grupos de ransomware. El análisis detectó 65 nuevas vulnerabilidades relacionadas con el ransomware durante el 2020, lo que representa un crecimiento del
• Los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades “Zero Day”, incluso antes de que los CVE se incorporen a la base de datos nacional de vulnerabilidades y se publiquen los parches. Las vulnerabilidades de QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) y, más recientemente, Apache Log4j (CVE-2021-44228) fueron explotadas incluso antes de llegar a la National Vulnerability Database. Esta tendencia alarmante pone de manifiesto la necesidad de agilizar el momento de desvelar las vulnerabilidades y publicar los parches en función de su prioridad; esto estará en manos de los proveedores. También, destaca que es necesario que las empresas pongan su foco más allá del NVD y estén atentas a otras tendencias. Entre ellas vulnerabilidades, casos de explotación, avisos de proveedores y alertas de las agencias de seguridad, mientras priorizan las vulnerabilidades a parchear.

Los grupos de ransomware siguen al acecho

• Los grupos de ransomware se dirigen cada vez más a las redes de la cadena de suministro para infligir grandes daños y causar un caos generalizado. Un solo virus en la cadena de suministro puede suponer la puerta de acceso para que los ciberdelincuentes secuestren distribuciones completas de sistemas en cientos de redes de víctimas. En 2021, los hackers atacaron las redes de la cadena de suministro a través de aplicaciones de terceros, productos específicos de proveedores y bibliotecas de código abierto. Por ejemplo, el grupo REvil fue tras el CVE-2021-30116 en el servicio de gestión remota de Kaseya VSA. El grupo lanzó un paquete de actualización malicioso que comprometía a todos los clientes que utilizaban versiones locales y remotas de la plataforma VSA.
• Los grupos de ransomware comparten cada vez más sus servicios, al igual que las ofertas legítimas de SaaS. El “ransomware como servicio” es un modelo de negocio en el que los desarrolladores de este tipo de malware ofrecen sus servicios. Además, ofertan versiones, kits o código a otros actores maliciosos por dinero. Las soluciones de explotación como servicio permiten a los actores de las amenazas alquilar explotaciones de “día cero” a los desarrolladores. Además, el Dropper-as-a-Service permite a los ciberdelincuentes inexpertos distribuir malware a través de programas que, cuando se ejecutan, pueden poner en marcha una carga útil maliciosa en el ordenador de la víctima. Y el Trojan-as-a-Service, también llamado “malware como servicio”, permite a cualquier persona con una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación.