El ransomware solo logró deslizarse del primer lugar para la mayoría de los ataques en el segundo trimestre. En el tercer trimestre, el informe Cisco Talos enumera que, por primera vez, la educación es el sector más afectado por los ciberataques: el ransomware.
Según el análisis de respuesta a incidentes de Cisco Talos (CTIR), el ransomware volvió a ocupar el primer lugar entre todos los ataques cibernéticos en el tercer trimestre de 2022. Al igual que en el primer trimestre, los intentos de chantaje fueron el método de ataque más común. Además de conocidos representantes de ransomware como Hive y Vice Society, se utilizaron nuevas variantes como Black Basta. También se ha producido un cambio en los sectores más afectados: la educación ha sustituido al sector de las telecomunicaciones.
Lista de ataques: educación y luego finanzas
Talos, una de las organizaciones de inteligencia de amenazas comerciales más grandes del mundo, ha publicado su evaluación trimestral de amenazas para el tercer trimestre de 2022. Según esto, los atacantes se dirigieron con mayor frecuencia al sector de la educación, seguido de cerca por las finanzas, el gobierno y la energía.
"Por primera vez en 2022, el sector de las telecomunicaciones dejó de ser la industria más atacada", dijo Holger Unterbrink, líder técnico de Cisco Talos en Alemania. “Esto podría indicar que las empresas de todo el mundo han aumentado significativamente sus medidas de protección y, por lo tanto, son objetivos menos lucrativos para los atacantes. Actualmente, el sistema educativo, el sector público y los proveedores de energía deben fortalecer sus defensas, especialmente a través de soluciones de detección de amenazas y autenticación multifactor”.
Ransomware antiguo y nuevo
🔎 En el tercer trimestre del Informe Talos, el ransomware vuelve a ser la principal amenaza de ataque (Imagen: Cisco).
En el tercer trimestre, Talos observó cada vez más ataques a través de las conocidas familias de ransomware Hive y Vice Society. Vive Society se utilizó desproporcionadamente a menudo para ataques cibernéticos a instituciones educativas, como lo ilustra un caso de Austria. Al analizar los registros de eventos, los investigadores de seguridad de Talos encontraron numerosos intentos de un host infectado de conectarse a otras partes de la red a través del Protocolo de escritorio remoto (RDP). Esto indicaba un llamado "movimiento lateral" de los atacantes. Lo que se quiere decir es el intento de un hacker desde un sistema comprometido de encontrar información de usuario con autorizaciones de acceso en las computadoras del cliente, con la que luego puede moverse a través de la red.
Talos también encontró indicadores para el uso del software de acceso remoto AnyDesk y TeamViewer, con más de 50 sistemas que acceden a URL relacionadas con TeamViewer. Al mismo tiempo, Windows Defender se complementó con una excepción para la ejecución de "AnyDesk.exe" a través de la cuenta SYSTEM.
Ransomware Black Basta a la vanguardia
Además de las conocidas familias de ransomware, también se utilizó cada vez más la nueva variante Black Basta, que apareció por primera vez en abril de 2022. Por ejemplo, su inyección fue preparada por actividades de Qakbot que utilizaron el secuestro de subprocesos y archivos ZIP protegidos con contraseña. En un ataque a una empresa estadounidense, los atacantes probablemente primero enviaron un correo electrónico de phishing con un archivo adjunto HTML. Cuando se abrió, inició un JavaScript que luego descargó un archivo ZIP malicioso. Esto luego instaló el troyano Qakbot, que los atacantes usaron para lanzar el ransomware Black Basta. La técnica del doble chantaje basada en esto es particularmente pérfida: si la víctima no paga un rescate por sus archivos cifrados, existe el riesgo de que la información sensible recopilada sea publicada.
Los resultados de Talos dejan claro que la amenaza que representa el ransomware no se ha evitado. Por primera vez, el informe registró una cantidad igual de casos de ransomware y pre-ransomware en el tercer trimestre, que juntos representaron casi el 40 por ciento de las amenazas. Las actividades previas al ransomware preparan el ransomware para su implementación posterior, como en el caso de Black Basta descrito anteriormente.
Si bien cada actividad que conduce a una amenaza de ransomware es única, existen puntos en común. Estos incluyen la enumeración de host, la recopilación de credenciales y la escalada de privilegios. Si no se usa ransomware más tarde, es posible que el atacante haya robado suficientes datos para causar un daño significativo.
Más en Cisco.com
Acerca de Cisco
Cisco es la compañía de tecnología líder en el mundo que hace posible Internet. Cisco está abriendo nuevas posibilidades para las aplicaciones, la seguridad de los datos, la transformación de la infraestructura y el empoderamiento de los equipos para un futuro global e inclusivo.