El informe revela también que estos ataques de ransomware siguen centrándose en las vulnerabilidades no parcheadas, y utilizan como método de ataque las vulnerabilidades de “día cero” en un tiempo record, provocando ataques devastadores. Al mismo tiempo, amplían sus áreas de actuación y encuentran nuevas formas de vulnerar las infraestructuras de las empresas y desencadenar ataques de gran impacto.
“Los grupos de ransomware son cada vez más sofisticados y sus ataques más impactantes. Estos actores de amenazas aprovechan cada vez más los kits de herramientas automatizadas para explotar las vulnerabilidades y penetrar más profundamente en las redes afectadas”, asegura Srinivas Mukkamala, vicepresidente senior de Productos de Seguridad de Ivanti. “También, amplían sus objetivos y lanzan más ataques contra sectores fundamentales, perturbando la vida cotidiana y causando daños sin precedentes. Las empresas deben extremar la vigilancia y parchear sin demora las vulnerabilidades que se han convertido en armas. Esto exige aprovechar una combinación de priorización de vulnerabilidades basadas en el riesgo e inteligencia de parches automatizada, para identificar y priorizar los puntos débiles de las vulnerabilidades, para posteriormente acelerar su corrección”, apunta Mukkamala.
Vulnerabilidades no parcheadas
Las vulnerabilidades no parcheadas siguen siendo los vectores de ataque más importantes explotados por los grupos de ransomware. El análisis detectó 65 nuevas vulnerabilidades relacionadas con el ransomware durante el 2020, lo que representa un crecimiento del 29% en comparación con el año anterior, y eleva el número total de vulnerabilidades asociadas al ransomware a 288.
Más de un tercio (37%) de estas vulnerabilidades recién incorporadas fueran tendencia en la web oscura
Es alarmante que más de un tercio (37%) de estas vulnerabilidades recién incorporadas fueran tendencia en la web oscura (Deep Web) y fueran explotadas repetidamente. En paralelo, el 56% de las 223 vulnerabilidades más antiguas identificadas antes del 2021, siguieron siendo explotadas por grupos de ransomware. Esto confirma que las empresas deben priorizar y parchear las vulnerabilidades que son el objetivo de los grupos de ransomware, tanto si se trata de vulnerabilidades de identificación reciente como de otras más antiguas.
Vulnerabilidades de día cero
Por otro lado, los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de “día cero”, incluso antes de que los CVE se incorporen a la base de datos nacional de vulnerabilidades y se publiquen los parches.
Las vulnerabilidades de QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) y, más recientemente, Apache Log4j (CVE-2021-44228) fueron explotadas incluso antes de llegar a la National Vulnerability Database (NVD). Esta tendencia alarmante pone de manifiesto la necesidad de agilizar, por parte de los proveedores, el momento de revelar las vulnerabilidades y publicar los parches en función de su prioridad.
También, destaca que es necesario que las empresas miren más allá del NVD y estén atentas a las tendencias de las vulnerabilidades, los casos de explotación, los avisos de los proveedores y las alertas de las agencias de seguridad, mientras priorizan las vulnerabilidades a parchear.
La gestión de parches en la actualidad: una estrategia basada en el riesgo para vencer a los ciberdelincuentes
Leer más
La cadena de suministro en el foco
Los grupos de ransomware se dirigen cada vez más a las redes de la cadena de suministro para infligir grandes daños y causar un caos generalizado. Un solo compromiso de la cadena de suministro puede abrir múltiples vías para que los responsables de las amenazas secuestren distribuciones completas de sistemas en cientos de redes de víctimas.
El año pasado, los responsables de las amenazas comprometieron las redes de la cadena de suministro a través de aplicaciones de terceros, productos específicos de proveedores y bibliotecas de código abierto. Por ejemplo, el grupo REvil fue tras el CVE-2021-30116 en el servicio de gestión remota de Kaseya VSA, lanzando un paquete de actualización malicioso que comprometía a todos los clientes que utilizaban versiones locales y remotas de la plataforma VSA.
Cooperación entre ciberdelincuentes
Los grupos de ransomware comparten cada vez más sus servicios, al igual que las ofertas legítimas de SaaS. El ransomware como servicio es un modelo de negocio en el que los desarrolladores de este tipo de malware ofrecen sus servicios, versiones, kits o código a otros actores maliciosos a cambio de una remuneración.
Las soluciones de explotación como servicio permiten a los actores de las amenazas alquilar explotaciones de “día cero” a los desarrolladores. Además, el Dropper-as-a-Service (DaaS) permite a los ciberdelincuentes inexpertos distribuir malware a través de programas que, cuando se ejecutan, pueden poner en marcha una carga útil maliciosa en el ordenador de la víctima. Y el Trojan-as-a-Service ("Troyano como Servicio"), también llamado “Malware como Servicio”, permite a cualquier persona con una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación.
Las empresas pagan una media de 220.298 dólares y sufren 23 días de inactividad tras un ataque de ransomware
Con 157 familias de ransomware que explotan 288 vulnerabilidades, los grupos de ransomware están dispuestos a realizar ataques masivos en los próximos años. Además, según Coveware, las empresas pagan una media de 220.298 dólares y sufren 23 días de inactividad tras un ataque de ransomware. Esto exige que se haga un mayor énfasis en la ciberhigiene. De cara al futuro, la automatización de la ciberhigiene será cada vez más importante, especialmente a medida que los entornos continúen aumentando su complejidad.
El informe Ransomware Index Spotlight se basa en datos recogidos de diversas fuentes, incluyendo datos propios de Ivanti y CSW, bases de datos de amenazas disponibles públicamente, e investigadores de amenazas y equipos de pruebas de penetración. Haga clic aquí para leer el informe completo.
Si (
No(
