Se han investigado 1.762
ataques, lo que representa un aumento interanual del 49% respecto al año
anterior.
El aumento de
ciberataques en el mundo no ha parado de crecer, a pesar de las operaciones
policiales que han desmantelado a grupos dominantes como Ambitious Scorpius
(distribuidores de BlackCat) y Flighty Scorpius (distribuidores de LockBit) en
el panorama internacional. Algunos grupos de ransomware de alto perfil han
desaparecido de forma pública, sin embargo, otros grupos han ocupado esos
vacíos.
Así lo da a conocer Unit
42, investigadores de amenazas e incidentes y consultores de
seguridad de Palo Alto Networks, a través de su informe “Ransomware Review: First Half of 2024”, con el cual vigilan de cerca los
sitios de filtraciones de ransomware y extorsión para mantenerse al tanto de la
actividad cibercriminal a nivel global.
En la investigación,
han revisado los anuncios de amenazas de 53 sitios web dedicados a las
filtraciones en la primera mitad de 2024, por lo que han encontrado 1.762
nuevas publicaciones. Esto supone una media de aproximadamente 294
publicaciones al mes y casi 68 publicaciones a la semana.
De los grupos de
ransomware cuyos sitios de filtraciones han supervisado, seis de ellos fueron
responsables de más de la mitad de los ataques. Estados Unidos fue, con diferencia, el país
con más víctimas registrando 917 ataques, lo que representa el 52% del total.
Por orden de impacto, los 10 países restantes fueron: Canadá, Reino Unido,
Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
Aunque los ataques de
ransomware siguen siendo en gran medida oportunistas, el reporte determina que
los sectores más afectados fueron la industria de Manufactura con 289 ataques
(16,4% de los mensajes observados), Salud (9,6%) y Construcción (9,4%). Estos
últimos integran tecnologías y dispositivos que pueden ser difíciles de monitorear
y proteger.
Al igual que en Manufactura,
Salud es extremadamente sensible a las interrupciones y los tiempos de
inactividad, por lo que se investiga con detenimiento cualquier fluctuación
estacional que pueda producirse debido a las vacaciones anuales, temporadas de
viajes y otros eventos recurrentes que pudiesen propiciar ataques.
Estas son las
vulnerabilidades más comunes que se explotarán en 2024.
Las nuevas
vulnerabilidades reveladas impulsaron principalmente la actividad del
ransomware, ya que los agresores se apresuraron a tomar este tipo de
oportunidades. Los grupos criminales suelen aprovecharse de debilidades para
acceder a las víctimas a través de sus propias redes y desplazarse lateralmente
por los entornos infectados.
El ecosistema de
amenazas se ha visto inundado de vulnerabilidades de día cero y otras más
graves, generando un amplio menú para elegir. Según el Informe de Respuesta a
Incidentes más reciente de Unit 42, las vulnerabilidades se convirtieron en la
principal causa de acceso inicial durante 2023, superando por primera vez a
otros métodos comunes como el phishing.
Esta tendencia
continúa en 2024, destacando vulnerabilidades más prolíficas explotadas por
grupos de ransomware en la primera mitad de 2024. Ante este contexto, es
necesario que las organizaciones busquen implementar un sólido programa de
gestión de vulnerabilidades que tenga en cuenta las conocidas anteriormente,
así como las nuevas que fueron incluidas en el informe del primer semestre del
2024.
Un panorama cambiante
desafía la seguridad de las empresas
Incluso con los
mejores resultados de las fuerzas policiales para desmantelar a los cibercriminales
más prolíficos, muchos grupos altamente capacitados están llenando el vacío en
lo que va de 2024. El informe detecta a los ciberdelincuentes emergentes que
Unit 42 ha estado rastreando durante el primer semestre y que pueden haber
entrado en el radar basándose en acontecimientos recientes.
Spoiled Scorpius es
el nombre utilizado para identificar a quienes están detrás de RansomHub, un
RaaS anunciado en el foro de ciberdelincuencia Russian Anonymous Market Place
(RAMP). Este grupo es en gran medida oportunista, pero prohíbe los ataques a
entidades en Cuba, China, Corea del Norte y territorios rusos.
A través de las
intervenciones en respuesta a incidentes, se han observado una cadena de
acontecimientos que indica que este grupo consigue el acceso inicial de las
víctimas a través del malware SocGholish mediante el envenenamiento de la
optimización del motor de búsqueda (SEO) y se ha utilizado el acceso a los
sistemas de las víctimas para eliminar copias de seguridad tanto del
almacenamiento local como en la nube.
Además, hay evidencia
de ataques de denegación de servicio distribuidos (DDoS) y vulnerabilidades
como CVE-2020-1472 para afectar a sus víctimas. El grupo también llama en frío
a los afectados para presionar aún más y que paguen el cuantioso rescate.
Es por ello por lo
que Palo Alto Networks emite la recomendación a empresas e instituciones de
mejorar su protección contra amenazas de ransomware a través de soluciones
integrales de seguridad en la red, así como en la nube, para mitigar riesgos y
proteger la información sensible o confidencial garantizando la prevención
avanzada de amenazas.
###
Acerca de Unit 42
Unit 42 de Palo Alto Networks reúne investigadores de amenazas de
renombre mundial, respondedores de incidentes de élite y consultores de
seguridad expertos para crear una organización basada en inteligencia y lista
para responder apasionada por ayudarlo a administrar de manera proactiva el
riesgo cibernético. Juntos, nuestro equipo actúa como su asesor de confianza
para ayudarlo a evaluar y probar sus controles de seguridad contra las amenazas
correctas, transformar su estrategia de seguridad con un enfoque informado
sobre amenazas y responder a incidentes en un tiempo récord para que pueda
volver al negocio más rápido. Visite paloaltonetworks.com/unit42.
Acerca de Palo Alto Networks
Palo Alto Networks es el líder mundial en ciberseguridad. Innovamos para superar las ciber amenazas, de modo que las organizaciones puedan adoptar la tecnología con confianza. Palo Alto Networks es el líder mundial en ciberseguridad. Brindamos seguridad cibernética de última generación a miles de clientes en todo el mundo, en todos los sectores. Nuestras mejores plataformas y servicios de ciberseguridad en su clase están respaldados por inteligencia de amenazas líder en la industria y fortalecidos por automatización de última generación. Ya sea implementando nuestros productos para habilitar Zero Trust Enterprise, respondiendo a un incidente de seguridad o asociándonos para ofrecer mejores resultados de seguridad a través de un ecosistema de socios de clase mundial, estamos comprometidos a ayudar a garantizar que cada día sea más seguro que el anterior. Es lo que nos convierte en el socio de ciberseguridad preferido.
Para obtener más información, visite www.paloaltonetworks.com.
Palo Alto Networks, Prisma y el logotipo de Palo Alto Networks son
marcas comerciales de Palo Alto Networks, Inc. en los Estados Unidos y en
jurisdicciones de todo el mundo. Todas las demás marcas comerciales, nombres
comerciales o marcas de servicio utilizadas o mencionadas en este documento
pertenecen a sus respectivos propietarios. Todos los servicios o
características no publicados (y cualquier servicio o característica que
generalmente no esté disponible para los clientes) a los que se hace referencia
en este u otros comunicados de prensa o declaraciones públicas no están
disponibles actualmente (o todavía no están disponibles para los clientes en
general) y es posible que no se entreguen cuando se espera o en todos. Los
clientes que adquieran aplicaciones de Palo Alto Networks deben tomar sus
decisiones de compra en función de los servicios y las funciones actualmente
disponibles en general.
No hay comentarios:
Publicar un comentario