Mujeres al Timón
Barracuda Networks ha publicado un nuevo estudio que muestra que el movimiento lateral es el signo más claro de un ataque de ransomware en desarrollo, detectando algo menos de la mitad (44%) de los incidentes.
Una cuarta parte (25%) de los incidentes se detectaron cuando los atacantes empezaron a escribir o editar archivos, y el 14% fueron desenmascarados por un comportamiento que no encajaba con los patrones de actividad conocidos. Los resultados se incluyen en el informe anual de Barracuda Threat Spotlight de ransomware, que explora los principales patrones de ataque en los últimos 12 meses.
El panorama de las amenazas de ransomware
Los investigadores de Barracuda analizaron una muestra de 200 incidentes reportados que cubren de agosto de 2023 a julio de 2024, involucrando a 37 países y 36 grupos diferentes de ransomware.
Este estudio concluye que el 21% de los incidentes afectaron a organizaciones sanitarias, frente al 18% de hace un año. Mientras que el 15% de los ataques reportados fueron contra la industria manufacturera y el 13% se dirigió a empresas tecnológicas. Los incidentes contra el sector educativo se redujeron a la mitad, del 18% del año pasado, para representar el 9% en 2023-2024.
Ransomware de alquiler
Los grupos de ransomware más prevalentes fueron los modelos de ransomware como servicio (RaaS). Entre ellos se encuentra LockBit, que en los últimos 12 meses estuvo detrás de uno de cada seis ataques, es decir, el 18% de los ataques en los que se conoce la identidad del atacante. El ransomware ALPHV/BlackCat fue responsable del 14% de ataques, mientras que Rhysida, un grupo de ransomware relativamente nuevo, fue responsable del 8% de los ataques con nombre.
«Los ataques de ransomware de alquiler pueden ser difíciles de detectar y contener. Diferentes clientes cibercriminales pueden utilizar diferentes herramientas y tácticas para desplegar la misma carga útil, lo que resulta en una variación considerable», explica Adam Khan, VP, Global Security Operations de Barracuda Networks.
«Afortunadamente, hay enfoques probados y comprobados en los que confían la mayoría de los atacantes, como el escaneo de movimiento lateral y la descarga de malware. Estos pueden activar alertas de seguridad que proporcionan a los equipos de seguridad varias oportunidades para detectar, contener y mitigar incidentes de ransomware antes de que tengan la oportunidad de desarrollarse completamente. Esto es especialmente importante en entorno informáticos en los que no todos los equipos están completamente protegidos», añade.
Principales herramientas y comportamientos de ataques
Según los datos de detección de Barracuda Managed XDR’s Endpoint Security, en los primeros seis meses de 2024 los principales indicadores de actividad probable de ransomware incluyen:
- Movimiento lateral: Algo menos de la mitad (44%) de los ataques de ransomware fueron detectados por sistemas de detección que vigilaban el movimiento lateral.
- Modificaciones de archivos: Una cuarta parte (25%) fueron detectados por el sistema que observa cuándo se escriben o modifican archivos y los analizan para ver si coinciden con alguna firma conocida de ransomware o patrones sospechosos.
- Comportamientos fuera de patrón: El 14% fueron detectados por el sistema de detección que identifica el comportamiento anormal dentro de un sistema o red. Este sistema aprende el comportamiento típico de usuarios, procesos y aplicaciones. Cuando detecta desviaciones (como acceso inusual a archivos, manipulación de componentes del sistema operativo o actividades sospechosas en la red), activa una alerta.
La investigación detallada de un ataque de ransomware PLAY mitigado dirigido a una empresa de tecnología sanitaria y de un incidente base que afectó a una empresa de cuidado del automóvil descubrió que los atacantes intentan establecer puntos de apoyo en dispositivos desprotegidos para lanzar la siguiente fase de su ataque y ocultar archivos maliciosos en carpetas de música y vídeo poco utilizadas.
Defensa en profundidad
Las últimas capas de detección son esenciales en la batalla contra amenazas activas como el ransomware, donde los atacantes suelen aprovechar herramientas disponibles en el mercado utilizadas legítimamente por los equipos de TI y pueden realizar ajustes en tiempo real en su comportamiento y tácticas para tener éxito.
Barracuda recomienda defensas multicapa impulsadas por IA, que son clave para detectar y remediar ataques avanzados para contener y minimizar el impacto. Esto debe complementarse con sólidas políticas de autenticación y acceso, parches y formación periódica de concienciación sobre seguridad para los empleados.
