Los ataques de doble extorsión se dirigen a sectores esenciales y causan una importante interferencia en el funcionamiento de las empresas

El nuevo estudio pone de manifiesto los principales sectores verticales afectados  y las tácticas utilizadas por las familias de ransomware más activas 

Zscaler, Inc. (NASDAQ: ZS), ha anunciado hoy la publicación de su nuevo informe sobre el ransomware, que incluye un análisis de las principales tendencias del ransomware y detalles sobre los  actores más prolíficos, sus tácticas de ataque y las industrias más vulnerables que son  objetivo. Zscaler™ ThreatLabz, el equipo de investigación de Zscaler, analizó más de 150 mil millones de transacciones que se procesaron en su plataforma junto con 36,5 mil  millones de ataques bloqueados entre noviembre de 2019 y enero de 2021, para  identificar las variantes emergentes de ransomware, sus orígenes y cómo detenerlas. El  informe también describe un riesgo creciente de ataques de «doble extorsión», que son  cada vez más utilizados por los ciberdelincuentes para interrumpir las empresas y  mantener los datos como rehenes para obtener un rescate. 

“En los últimos años, la amenaza del ransomware se ha vuelto cada vez más peligrosa,  con nuevos métodos como la doble extorsión y los ataques DDoS que facilitan a los  ciberdelincuentes sabotear las organizaciones y causar un daño a largo plazo a su  reputación”, dijo Deepen Desai, CISO y VP de Investigación de Seguridad en Zscaler.  «Nuestro equipo prevé que los ataques de ransomware serán cada vez más selectivos en su naturaleza, con los que los ciberdelincuentes golpearán a aquellas organizaciones que  tienen una mayor probabilidad de pagar el rescate. Hemos analizado los recientes ataques de ransomware en los que los ciberdelincuentes tenían conocimiento de  aspectos como la cobertura del ciberseguro de la víctima, así como de los proveedores  de la cadena de suministro críticos, lo que les coloca en la diana de estos ataques. Por lo  tanto, es fundamental que las empresas comprendan mejor el peligro que representa el  ransomware y tomen las precauciones adecuadas para evitar un ataque. Siempre hay que  parchear las vulnerabilidades, entrenar a los empleados en la detección de correos  electrónicos sospechosos, hacer copias de seguridad de los datos con regularidad,  implementar una estrategia de prevención de pérdida de datos y utilizar una arquitectura  de confianza cero para minimizar la superficie de ataque y evitar el movimiento lateral«. 

Según el Informe de Riesgos Globales 2020 del Foro Económico Mundial, el ransomware  fue el tercer tipo de ataque de malware más común y el segundo más dañino registrado  en 2020. Con pagos de una media de 1,45 millones de dólares por incidente, no es difícil  ver por qué los ciberdelincuentes acuden cada vez más a este nuevo método de  extorsión de alta tecnología. A medida que aumentan las ganancias derivadas de este tipo de delitos, también crecen los riesgos para las entidades gubernamentales, los  beneficios de las empresas, la reputación, la integridad de los datos, la confianza de los  clientes y la continuidad del negocio. El informe de Zscaler apoya la tesis recientemente  formulada por el gobierno federal de los Estados Unidos, que clasifica el ransomware  como una amenaza a la seguridad nacional; subrayando la necesidad de priorizar las  medidas de mitigación y contingencia a la hora de protegerse contra estas continuas amenazas. 

La doble extorsión: el nuevo método preferido

A finales de 2019, ThreatLabz observó una creciente preferencia por los ataques de  «doble extorsión» en algunas de las familias de ransomware más activas e impactantes.  Estos ataques se definen por una combinación de cifrado no deseado de datos  sensibles por parte de actores maliciosos y la extracción de los archivos más  significativos para pedir un rescate. Las organizaciones afectadas, incluso si son  capaces de recuperar los datos de las copias de seguridad, se ven entonces  amenazadas con la exposición pública de sus datos robados por parte de grupos  delictivos que exigen un rescate. A finales de 2020, el equipo observó que esta táctica  se vio incrementada con ataques DDoS sincronizados, sobrecargando los sitios web de  las víctimas y ejerciendo una presión adicional sobre las organizaciones para que  cooperen. 

Según Zscaler ThreatLabZ, muchos sectores diferentes han sido objetivo en los últimos  dos años de ataques de ransomware de doble extorsión. Entre los sectores más  atacados se encuentran los siguientes: 

  1. Industria manufacturera (12,7%) 
  2. Servicios (8,9%) 
  3. Transporte (8,8%) 
  4. Comercio minorista y mayorista (8,3%) 
  5. Tecnología (8%) 

Porcentaje de ataques de ransomware con doble extorsión observados entre noviembre de  2019 y enero de 2021

Programas de ransomware más activos

Durante el último año, ThreatLabz ha identificado siete «familias» de ransomware que se observaron con más frecuencia que otras. El informe analiza los orígenes y las tácticas  de los siguientes cinco grupos más activos: 

  • Maze/Egregor: Aparecido inicialmente en mayo de 2019, Maze fue el ransomware  más utilizado para los ataques de doble extorsión ( contabilizando 273 incidentes)  hasta que aparentemente dejó de funcionar en noviembre de 2020. Los atacantes  utilizaron campañas de correo electrónico de spam, kits de explotación como Fallout  y Spelevo, y servicios RDP hackeados para obtener acceso a los sistemas y cobraron  con éxito grandes rescates después de encriptar y robar archivos de empresas de TI  y tecnología. Los tres principales sectores atacados por Maze fueron la alta  tecnología (11,9%), la industria manufacturera (10,7%) y los servicios (9,6%). En  particular, Maze se comprometió a no atacar a las empresas del sector sanitario  durante la pandemia de COVID-19. 
  • Conti: Detectado por primera vez en febrero de 2020, es la segunda familia de  ataques más común, con 190 ataques. Conti comparte código con el ransomware  Ryuk y parece ser su sucesor. Conti utiliza la API del gestor de reinicio de Windows  antes de cifrar los archivos, lo que le permite cifrar más archivos como parte de su  estrategia de doble extorsión. Las víctimas que no quieren o no pueden pagar el  rescate ven sus datos publicados regularmente en el sitio web de filtración de datos  de Conti. Los tres sectores más afectados son la industria manufacturera (12,4%),  los servicios (9,6%) y transporte (9,0%). 
  • Doppelpaymer: Detectado por primera vez en julio de 2019 y con 153 ataques  documentados, Doppelpaymer se dirige contra una selección de sectores y suele  exigir grandes pagos: de seis y siete cifras. Inicialmente infecta las máquinas con un  correo electrónico de spam que contiene un enlace malicioso o un archivo adjunto  malicioso. Doppelpaymer luego descarga el malware Emotet y Dridex en los  sistemas infectados. Las tres organizaciones más atacadas por Doppelpaymer  fueron la industria manufacturera (15,1%), el comercio minorista y mayorista (9,9%)  y las administraciones públicas (8,6%). 
  • Sodinokibi: También conocido como REvil y Sodin, Sodinokibi fue observado por  primera vez en abril de 2019, y se lo ha encontrado con creciente frecuencia a lo  largo de 125 ataques. Al igual que Maze, Sodinokibi utiliza correos electrónicos de  spam, kits de explotación y cuentas RDP comprometidas, además de explotar  frecuentemente vulnerabilidades en Oracle WebLogic. Sodinokibi comenzó a utilizar  tácticas de doble extorsión en enero de 2020 y tuvo el mayor impacto en el  transporte (11,4%), la industria manufacturera (11,4%) y el comercio  minorista/mayorista (10,6%). 
  • DarkSide: Fue detectado por primera vez en agosto de 2020 tras publicar un  comunicado de prensa en el que anunciaba sus servicios. Utilizando un modelo de  «ransomware como servicio», DarkSide despliega métodos de doble extorsión para  robar y cifrar información. El grupo hace público su programa de objetivos,  escribiendo en su página web que no ataca a organizaciones sanitarias, servicios  funerarios, centros educativos, organizaciones sin ánimo de lucro o  administraciones públicas. En su lugar, los principales objetivos elegidos son los  servicios (16,7%), la industria manufacturera (13,9%) y los servicios de transportes. Al igual que en el caso de Conti, los que no pueden pagar el rescate ven sus  datos publicados en el sitio web de DarkSide.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio