Como muestra un nuevo informe, los ciberdelincuentes siguen dependiendo del compromiso del correo electrónico empresarial además del ransomware y utilizan vulnerabilidades conocidas desde hace mucho tiempo y sin parches para sus ataques. El informe muestra que las demandas de rescate son cada vez más escandalosas.
El Informe de amenazas de Arctic Wolf Labs se creó en base a amenazas, malware, análisis forense digital y datos de casos de respuesta a incidentes que Arctic Wolf recopila en todo el marco de operaciones de seguridad. Proporciona información detallada sobre el ecosistema global de ciberdelincuencia, destaca las tendencias de amenazas globales y proporciona recomendaciones estratégicas de ciberseguridad para el próximo año.
Las reclamaciones de ransomware aumentan un 20%
El ciberdelito se ha convertido en los últimos años en un verdadero negocio, con ofertas como el ransomware como servicio que han llevado a una verdadera “democratización” del negocio criminal. Incluso los actores de amenazas sin conocimientos técnicos pueden llevar a cabo ataques. Al mismo tiempo, los grupos de ransomware se están volviendo cada vez más agresivos. Los sectores de manufactura, servicios y educación/sin fines de lucro fueron las tres industrias que aparecieron con mayor frecuencia en los sitios de fuga de ransomware.
A la luz de los esfuerzos internacionales de aplicación de la ley y el aumento de la falta de pago por parte de las víctimas, los grupos también están ampliando su lista de objetivos y buscando formas de ejercer aún más presión sobre las víctimas. La demanda inicial promedio de rescate aumentó un 20% a 600.000 dólares en comparación con el año anterior. Los sectores público, minorista, energético y legal registraron cada uno reclamaciones promedio de $1 millón o más.
Los grupos de ransomware se ven sometidos a una presión cada vez mayor
El desmantelamiento del grupo de hackers Lockbit en la “Operación Cronos”, en la que trabajaron juntos investigadores internacionales, incluidos la NCA, el FBI y Europol, es un ejemplo reciente de cómo los grupos de ransomware se ven sometidos a una presión cada vez mayor. Pero lamentablemente este desmantelamiento probablemente sólo tendrá un efecto a corto plazo. Del gran grupo de ransomware, que extorsionaba a una media de 1,3 víctimas al día, sólo seis personas fueron identificadas y sólo dos de ellas fueron arrestadas. Por lo tanto, se puede suponer que los mismos actores volverán a operar rápidamente con nombres diferentes. Por tanto, sigue siendo necesaria una gran vigilancia.
El compromiso del correo electrónico empresarial sigue siendo popular y menos estudiado
El ransomware puede aparecer en más titulares, pero los incidentes BEC son efectivos y mucho más fáciles de ejecutar. Además, normalmente sólo los incidentes BEC más graves (como aquellos que implican una cuenta comprometida u otros intentos de acceso) dan lugar a una investigación completa de respuesta a incidentes (IR). Un incidente de ransomware tiene 15 veces más probabilidades de dar lugar a una investigación que un incidente de BEC, aunque los incidentes de BEC superan en número a los incidentes de ransomware por un factor de 10.
No obstante, como el año anterior, los incidentes BEC representaron casi el 30 % de todos los incidentes investigados por Arctic Wolf® Incident Response durante este período de informe, lo que subraya hasta qué punto siguen representando una amenaza cotidiana para las organizaciones.
Las vulnerabilidades conocidas causan el 60% de los incidentes de seguridad
En el 29% de los incidentes no BEC examinados por Arctic Wolf, los atacantes explotaron una vulnerabilidad en un sistema accesible externamente. En casi el 60% de estos incidentes, se trataba de una vulnerabilidad que se identificó ya en 2022 o antes, lo que significa que, en teoría, las organizaciones habrían tenido meses o años para parchear el sistema afectado o eliminar (o proteger aún más) el acceso externo. Sólo el 11,7% de estos incidentes no relacionados con BEC (o el 3,4% de los incidentes en general) contenían una vulnerabilidad de día cero, un riesgo de seguridad previamente desconocido.
Más en ArcticWolf.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.