Como muestra el informe de ransomware del segundo y tercer trimestre de 2 de Ivanti, los ataques de ransomware se han más que cuadruplicado desde 3, incluido un mayor uso en la guerra. Las organizaciones deben ser conscientes del panorama de amenazas y sus vulnerabilidades.
Ivanti, el proveedor de Ivanti Neurons, la plataforma de automatización que descubre, administra, protege y nutre los activos de TI desde la nube hasta el perímetro, ha publicado los resultados de su Informe del índice de ransomware del segundo y tercer trimestre de 2. El informe muestra que el ransomware se ha multiplicado por más de cuatro (3 %) desde 2022. Además, el ransomware se usa cada vez más como arma de guerra, como lo demuestra la guerra en Ucrania y la guerra cibernética entre Irán y Albania.
Más ataques, más variantes
El informe encuentra que los grupos de ransomware están creciendo en número y se vuelven más sofisticados: 2022 vulnerabilidades pueden vincularse con ransomware en los primeros tres trimestres de 35. Además, actualmente hay 159 exploits en tendencia y explotados activamente. Otra complicación para las empresas es la falta de datos e información suficientes sobre la situación de la amenaza. Por lo tanto, es difícil para ellos parchear sus sistemas de manera efectiva y remediar las vulnerabilidades de manera eficiente.
En el informe también se identificaron diez nuevas familias de ransomware (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui y NamPoHyu). Esto eleva su total a 170. Con 101 CVE para phishing, los atacantes de ransomware confían cada vez más en técnicas de phishing selectivo para atraer a sus víctimas y entregar su carga maliciosa.
Nuevas familias de ransomware como Black Basta & Co
El ransomware solo tiene éxito con el factor humano. Sin embargo, el phishing como único método de ataque es un mito. Como parte del informe, se analizaron y mapearon 323 vulnerabilidades de ransomware actuales en el Marco de Tácticas, Técnicas y Conocimiento Común Adversarial (ATT&CK) de MITRE. La base de datos contiene información sobre los métodos de ataque cibernético basados en observaciones reales. Esto ayuda a identificar tácticas, técnicas y procedimientos precisos que pueden servir como "cadena de muerte" en los ataques a una organización. La cadena de matanza cibernética de varias etapas describe una penetración cada vez más profunda de los ciberdelincuentes. El resultado: para 57 de las vulnerabilidades analizadas, los sistemas se pueden tomar por completo, desde el primer acceso hasta la exfiltración.
Bases de datos de vulnerabilidad incompletas
El informe también revela dos nuevas vulnerabilidades de ransomware (CVE-2021-40539 y CVE-2022-26134), las cuales fueron explotadas por familias de ransomware generalizadas como AvosLocker y Cerber antes o el día en que se publicaron en la base de datos nacional de vulnerabilidades. (NVD) han sido liberados. Esto muestra que las empresas que confían únicamente en la publicación del NVD para corregir vulnerabilidades son más vulnerables a los ataques.
Srinivas Mukkamala, director de productos de Ivanti, dice: “Los equipos de seguridad y TI necesitan urgentemente adoptar un enfoque basado en el riesgo para la gestión de vulnerabilidades a fin de protegerse mejor contra el ransomware y otras amenazas. Esto incluye el uso de tecnologías de automatización que correlacionan datos de varias fuentes (por ejemplo, escáneres de red, bases de datos de vulnerabilidades internas y externas y pruebas de penetración), evalúan riesgos, brindan alertas tempranas de amenazas, predicen ataques y priorizan contramedidas. Las organizaciones que continúan confiando en los enfoques tradicionales para la gestión de vulnerabilidades, como el uso exclusivo de NVD y otras bases de datos públicas para priorizar y parchear las vulnerabilidades, están constantemente en alto riesgo de ataques cibernéticos”.
Los escáneres tienen puntos ciegos
El informe revela que los escáneres populares no detectan 18 vulnerabilidades relacionadas con el ransomware. Esto subraya la importancia de utilizar más que los enfoques tradicionales de gestión de vulnerabilidades. Según Aaron Sandeen, CEO de Cyber Security Works, “La perspectiva es sombría si los escáneres en los que confían las organizaciones no detectan vulnerabilidades. Las empresas necesitan implementar una solución de administración de superficie de ataque que pueda encontrar vulnerabilidades en todos los activos corporativos.
Las infraestructuras críticas se convierten en el objetivo
Además, el informe analiza el impacto del ransomware en la infraestructura crítica. Los datos muestran que el 47,4 % de las vulnerabilidades de ransomware afectan a los sistemas sanitarios, el 31,6 % a los sistemas de energía y el 21,1 % a las instalaciones de fabricación críticas. Anuj Goel, cofundador y director ejecutivo de Cyware, dice: “Si bien las estrategias de recuperación de incidentes han mejorado con el tiempo, siempre es mejor prevenir que curar. Analizar adecuadamente el contexto de la amenaza y tomar medidas proactivas.
Malware de tendencia
El informe identifica específicamente el malware con funciones multiplataforma como tendencias de ransomware. Con él, los operadores de ransomware pueden apuntar fácilmente a múltiples sistemas operativos con una sola base de código. El informe también revela una cantidad significativa de ataques a soluciones de seguridad y bibliotecas de códigos de software de terceros. De cara al futuro, las organizaciones deben continuar anticipándose a nuevos grupos de ransomware. Es cierto que grupos conocidos como Conti y DarkSide se están disolviendo. Sin embargo, ofrece a los nuevos grupos la oportunidad de reutilizar o modificar el código fuente y los métodos de ataque que heredaron de los grupos de ransomware desaparecidos.
El Ransomware Index Spotlight Report se basa en datos de una variedad de fuentes, incluidos datos patentados de Ivanti y CSW, bases de datos de amenazas disponibles públicamente e información de investigadores de amenazas y equipos de pruebas de penetración. Ivanti realizó el estudio en asociación con Cyber Security Works, una autoridad de certificación de numeración (CNA) y Cyware, un proveedor líder de la plataforma tecnológica para construir Cyber Fusion Centers. aquí para descargar el informe completo.
Más en Ivanti.com
Sobre Ivanti La fuerza de la TI unificada. Ivanti conecta la TI con las operaciones de seguridad empresarial para gobernar y proteger mejor el lugar de trabajo digital. Identificamos activos de TI en PC, dispositivos móviles, infraestructuras virtualizadas o en el centro de datos, independientemente de si se encuentran en las instalaciones o en la nube. Ivanti mejora la prestación de servicios de TI y reduce el riesgo comercial a través de la experiencia y los procesos automatizados. Mediante el uso de tecnologías modernas en el almacén y en toda la cadena de suministro, Ivanti ayuda a las empresas a mejorar su capacidad de entrega, sin cambiar los sistemas internos.