El informe anual sobre ciberamenazas de NCC Group desvela que el 35% del total de los ataques de todo el mundo se llevaron a cabo en Europa en 2022.

Se registra un descenso del 5% de ataques de ransomware y un aumento de las amenazas de DDoS, con 230.519 ataques registrados, y BEC

Las bandas organizadas de ciberdelincuentes LockBit, BlackCat y Conti son responsables de la mitad de los ataques registrados en 2022

NCC Group, consultora global experta en ciberseguridad y amenazas, acaba de hacer público su informe anual de amenazas de 2022, NCC Group Annual Threat Monitor Report, donde desvela que en Europa han aumentado un 11% los ciberataques con respecto a 2021 y el sector industrial ha sido el más atacado, con un 32% de los incidentes registrados a nivel global en 2022. Concretamente, sólo el pasado año en Europa se llevaron a cabo el 35% de los incidentes, pasando de 811 en 2021, a un total de 896 el año pasado. En cuanto a los sectores, lidera el ranking de los más atacados el industrial, seguido de las empresas de consumo y las tecnológicas, como principales objetivos de los ciberdelincuentes.

Este informe de NCC Group, que analiza el panorama mundial de amenazas del año pasado, también observa un descenso de los ataques de ransomware en un 5%, con 2.531 incidentes de seguridad registrados en 2022, frente a los 2.667 de 2021. Pero a pesar de este descenso en el cómputo global, cabe señalar que hubo un notable aumento entre febrero y abril, coincidiendo con el comienzo del conflicto entre Rusia y Ucrania. Momento en el que el grupo organizado LockBit aumentó su actividad. Este análisis también ha dado a conocer que los ataques de ransomware no dejan de innovar con el objetivo de encontrar nuevas oportunidades para extorsionar a sus víctimas. Para ello, las principales bandas criminales han incluido dos nuevas técnicas en su arsenal de amenazas para enmascarar sus ataques más sofisticados, como son la fuga de datos y los ataques de denegación de servicio (DDoS).

Para Matt Hull, Director Global de Threat Intelligence de NCC Group: “2022 ha sido otro año más que nos ha mantenido en constante alerta. El panorama de amenazas se ha visto muy influenciado por el conflicto entre Rusia y Ucrania, con todo un arsenal de ciberamenazas –desde DDoS hasta malware– desplegadas por delincuentes, hacktivistas e incluso otros estados. Aunque tal vez no sea el ‘cybergeddon’ que algunos esperaban como el próximo gran conflicto global, estamos observando un aumento de los ataques patrocinados por los estados, demostrando que la ciberguerra es crítica en este campo de batalla híbrido, físico y cibernético».

El ranking de las “bandas de ransomware” más activas del año

Al frente de los grupos organizados que copan los primeros puestos en ataques de ransomware se sitúa LockBit, responsable del 33% de ellos. Durante 2022, ha sido el responsable de 846 ataques monitorizados, frente a los 436 que perpetró en 2021. Concretamente, abril ha sido el mes en el que se mostró más activo, justo antes de lanzar un nuevo ransomware denominado LockBit 3.0. Esta banda criminal arrebata el primer puesto a Conti, el grupo afiliado a Rusia que pasó de copar el 21% de los ataques en 2021 a ser responsable del 7% en 2022 –ocupando el tercer puesto–. Esto se debe a que desde junio no se han monitorizado nuevos incidentes con su firma, coincidiendo con la aparición de una nueva banda conocida como BlackBasta. Se sospecha que o están asociados o han reemplazado a Conti.

El segundo puesto en ataques de ransomware lo ocupó BlackCat, autores del 8% de los incidentes registrados. En su caso, el pico de actividad ocurrió en diciembre, cuando llegaron a los 30 incidentes en un mes, superando así su media de 18 ataques mensuales.

“A pesar de esta ligera caída en los ataques de ransomware, no significa que colectivamente podamos declarar ‘trabajo terminado’. De hecho, esta disminución en el volumen y el valor de los ataques probablemente se deba en parte a una respuesta cada vez más dura y colaborativa de los gobiernos y de las fuerzas del orden y, por supuesto, al impacto global de la guerra en Ucrania. Hemos sido testigos de varias operaciones coordinadas en 2022, que terminaron con el arresto de importantes ciberdelincuentes, así como de la disolución de grupos establecidos desde hace mucho tiempo. Este fue el caso de Conti, la banda más activa de 2021”, señala Matt Hull.

Los sectores más ciberatacados: industria, consumo y tecnología

El sector industrial acaparó el mayor número de ataques de ransomware en 2022 con un 32% del total, hasta 804 organizaciones fueron víctimas de algún incidente. A continuación, encontramos a las empresas del sector de consumo, -entre los que se incluyen hoteles y servicios de entretenimiento, minoristas especializados, automóviles, artículos para el hogar, etc.- que sumaron 487 (20%), y del sector tecnológico con 263 (10%). Si bien son cifras que se vienen repitiendo en los últimos años, destaca el incremento del 10% en las organizaciones de consumo y en las de servicios financieros.

Asimismo, en el sector tecnológico, tanto el software como los servicios de TI fueron los más atacados, ya que presentan numerosas opciones para los ciberdelincuentes: desde el robo de propiedad intelectual hasta el uso de empresas víctimas para comprometer la cadena de suministro.

NCC Group Annual Threat Monitor Report

Europa y América del Norte acaparan el 80% de los ataques de ransomware

América del Norte y Europa sufrieron la mayor cantidad de ataques de ransomware en 2022. América del Norte fue la más afectada, con el 44% de los incidentes (1.106), aunque experimentó una disminución del 24% con respecto a las cifras de 2021 (1.447). En cambio, en Europa se llevaron a cabo el 35% de los incidentes, lo que supuso un incremento del 11% (pasó de 811 a 896). Este hecho posiblemente estuvo influenciado por los aumentos repentinos en la actividad asociada con el conflicto entre Rusia y Ucrania durante la primera mitad del año.

Inicialmente el término ransomware se refería a un tipo de software capaz de encriptar datos con el objetivo de extorsionar a sus dueños. Posteriormente, esta práctica evolucionó a una doble extorsión: el propio ransomware y una posterior filtración de los datos confidenciales en un «sitio de fuga». En la actualidad, las bandas como LockBit están realizando una triple extorsión, añadiendo los ataques DDoS para agregar mayor presión a las organizaciones víctimas.

Incremento de ataques DDoS y BEC

NCC Group contabilizó 230.519 incidentes de DDoS en 2022, un 45% de los cuales se produjeron en Estados Unidos (el 27% de ellos en el mes de enero). Este aumento en los ataques DDoS y las infracciones provocadas por botnets reflejan una mayor turbulencia en el panorama de las ciberamenazas, en parte influenciado por el citado conflicto entre Rusia y Ucrania. Tanto los grupos criminales como los hacktivistas continúan utilizando los ataques de denegación de servicio como parte de este conflicto bélico, junto con campañas de desinformación y malware destructivo capaz de paralizar las infraestructuras críticas en Ucrania y en otros países.

Por otro lado, los ataques que comprometen al correo electrónico empresarial (BEC) suelen atraer menos atención que los de ransomware. Sin embargo, suponen una amenaza creciente a la que las organizaciones deben prestar atención, dado que representaron el 33% de los incidentes observados por el Equipo de Respuesta a Ciberincidentes (CIRT) de NCC Group.

“Mirando hacia 2023, creemos que los delincuentes se centrarán en comprometer la cadena de suministro, eludiendo la autenticación multifactor (MFA) y aprovechando las API mal configuradas. La amenaza persistirá y las organizaciones deberán permanecer alerta y averigüar cómo pueden estar expuestas a los ataques, para tomar medidas que mitiguen cualquier riesgo”, concluye Matt Hull.