Los operadores modernos de ransomware estuvieron bastante activos en el tercer trimestre de 2021, específicamente los distribuidores de la familia de ransomware REvil (también conocida como Sodinokibi). A principios de julio, se informó que los actores maliciosos explotaron las vulnerabilidades de día cero en el software VSA de la plataforma de administración de TI Kaseya para enviar un script malicioso a los usuarios vulnerables. Normalmente dicha plataforma es utilizada para proporcionar actualizaciones a los clientes, por lo que se afirma que VSA fue armado por los actores maliciosos para cargar el ransomware REvil, cuyo propósito es emplear tácticas de doble extorsión para motivar aún más a los objetivos a pagar su rescate.
Así mismo, se ha estado rastreando el grupo de ransomware LockBit, que resurgió con LockBit 2.0 en julio y agosto. Esta versión supuestamente tiene uno de los métodos de cifrado más rápidos y eficientes en la actualidad, por lo que también intenta reclutar a más afiliados prometiendo «millones de dólares» a miembros de las empresas, quienes son blanco fácil para proporcionar credenciales y accesos.
De acuerdo con el reporte desarrollado por Trend Micro, los siguientes datos muestran el panorama de las familias de ransomware, tanto las amenazas heredadas como las más modernas, en el tercer trimestre de 2021, durante el cual se detectaron y bloquearon un total de 3.462.489 amenazas de ransomware en las capas de correo electrónico, archivos y URL.
Las cuatro principales detecciones de ransomware por segmento
Las detecciones de REvil alcanzaron su punto máximo en julio y LockBit apareció en agosto y septiembre. Sus objetivos eran grandes empresas, así como pequeñas y medianas empresas (PYMES). Las familias de ransomware heredadas WannaCry y Locky también estuvieron activas en todos los segmentos. WannaCry fue la familia más detectada en el segmento empresarial durante los tres meses, y Locky fue la familia más detectada en el segmento de consumidores. El punto más alto fue a principios de julio, en las detecciones de REvil en organizaciones empresariales, coincidió con los informes sobre el compromiso de Kaseya.
Las cinco principales industrias con detecciones de ransomware
Las industrias del gobierno y de salud fueron consistentemente las dos primeras clasificadas en términos de detecciones de ransomware. Las industrias de telecomunicaciones, manufactura y financiera también fueron fuertemente atacadas en este lapso de tres meses. Hubo un repunte en la actividad de REvil, y se vio que el aumento de la actividad sucedía específicamente en la industria de las telecomunicaciones. Mientras tanto, LockBit se detectó en organizaciones gubernamentales y de salud, aunque también se vieron detecciones de Clop dentro de la industria de la salud. Clop es una familia de ransomware moderna que cuenta con técnicas de extorsión variadas y progresivamente devastadoras.
Los tres países principales con detecciones de ransomware
Como se mencionó anteriormente, la actividad del ransomware moderno es más volátil debido a su localización. Esto se ve en el caso de REvil, que alcanzó su punto máximo en julio en los EE.UU. Y prácticamente desapareció en septiembre. La actividad de REvil también disminuyó en otros países, aunque se observaron números bajos de manera constante en Brasil y Japón. Mientras tanto, LockBit apareció en Japón en julio y ganó fuerza. Se observó que alcanzó más objetivos en todo el mundo en septiembre.
Cómo disuadir el ransomware y minimizar su impacto
El ransomware es un peligro persistente para las empresas, especialmente considerando que las herramientas y técnicas utilizadas por los operadores de esta amenaza continúan evolucionando. Las organizaciones pueden mitigar los riesgos del ransomware moderno invirtiendo en soluciones de detección y respuesta de capas cruzadas que puedan anticipar y responder a las actividades, técnicas y movimientos de ransomware antes de que los operadores puedan lanzar un ataque. Una de estas soluciones es la plataforma de ciberseguridad Trend Micro Vision One ️con Managed XDR, que ayuda a detectar y bloquear componentes de ransomware para detener a los actores de amenazas antes de que exfiltren datos confidenciales.
Para proteger aún más a las empresas, la detección y respuesta de red (NDR) permite a las organizaciones monitorear el tráfico de red y responder a actividades maliciosas y comportamientos sospechosos en la capa de red y más allá. Además de prevenir ataques de día cero, Trend Micro Network One ofrece telemetría de red crítica a Trend Micro Vision One, lo que permite a los equipos de operaciones de seguridad obtener una imagen más clara de su entorno, acelerando la respuesta y previniendo futuros ataques. Recuerde que la mejor opción siempre será estar bien preparado para prevenir posibles ataques a su infraestructura antes que tener que reaccionar sobre las pérdidas y el daño ya ocasionado a su organización.