El 21% de los ciberataques, que se produjeron entre agosto de 2023 y julio de 2024, afectaron a organizaciones del sector de la sanidad, un aumento respecto al 18% del año anterior. Además, el 15% de los ataques se dirigieron a la industria manufacturera, mientras que el 13% afectó a empresas tecnológicas. Los ataques contra el sector educativo disminuyeron significativamente, pasando del 18% el año pasado al 9% en 2023/24.
Así lo destaca Barracuda Networks en su informe «Barracuda Threat Spotlight» sobre ransomware, que analiza las tendencias más destacadas en ataques de ransomware durante los últimos 12 meses. Además, revela que el movimiento lateral es el indicador más evidente de un ataque de ransomware en progreso, siendo detectado en el 44% de los incidentes. Otro 25% de los ataques se identificó cuando los atacantes comenzaron a modificar o crear archivos, y el 14% se descubrió debido a comportamientos que no coincidían con los patrones habituales de actividad.
«Los ataques de ransomware como servicio pueden ser particularmente difíciles de detectar y contener porque los diferentes cibercriminales pueden emplear diversas herramientas y tácticas para desplegar la misma carga maliciosa, lo que provoca una gran variabilidad», explica Adam Khan, VP de Operaciones Globales de Seguridad en Barracuda Networks.
El auge del ransomware como servicio
El estudio también destaca que los grupos de ransomware más comunes operan bajo un modelo de ransomware como servicio (RaaS). LockBit, por ejemplo, fue responsable del 18% de los ataques conocidos en el último año. Otros actores importantes incluyen ALPHV/BlackCat, responsable del 14% de los incidentes, y Rhysida, un grupo relativamente nuevo, que estuvo detrás del 8% de los ataques identificados.
Los datos de detección de amenazas de Barracuda muestran que algo menos de la mitad (44%) de los ataques de desarrollo de ransomware se detectaron durante el movimiento lateral
Principales indicadores de ataques en 2024
Según los datos de Barracuda Managed XDR’s Endpoint Security, durante los primeros seis meses de 2024, los principales signos de actividad de ransomware detectada fueron:
- Movimiento lateral: Detectado en el 44% de los ataques de ransomware, donde los sistemas de monitoreo identificaron intentos de los atacantes por moverse lateralmente dentro de la red.
- Modificaciones de archivos: Un 25% de los ataques se detectaron cuando el sistema notó la escritura o modificación de archivos, analizando estos cambios en busca de firmas conocidas de ransomware o patrones sospechosos.
- Comportamientos anómalos: El 14% de los incidentes se identificaron gracias a un sistema que detecta comportamientos inusuales en la red, comparando las acciones con el comportamiento típico de usuarios, procesos y aplicaciones. Desviaciones como accesos no habituales a archivos o actividades sospechosas en la red activan alertas.
Una investigación detallada de un ataque de ransomware PLAY dirigido a una empresa de tecnología sanitaria y otro incidente de ransomware 8base que afectó a una empresa de servicios automotrices reveló que los atacantes intentan establecer un punto de apoyo en dispositivos desprotegidos para avanzar a la siguiente fase de su ataque y ocultar archivos maliciosos en carpetas poco utilizadas.
Defensa profunda y recomendaciones
Las capas avanzadas de detección son cruciales en la lucha contra amenazas activas como el ransomware. Los atacantes a menudo utilizan herramientas comerciales legítimas utilizadas por equipos de TI y pueden ajustar su comportamiento y tácticas en tiempo real para evadir las defensas.
Barracuda sugiere implementar defensas multicapa potenciadas por inteligencia artificial, que son esenciales para detectar y mitigar ataques avanzados, minimizando así el impacto. También se recomienda fortalecer las políticas de autenticación y acceso, mantener los sistemas actualizados con parches regulares y ofrecer formación continua en seguridad a los empleados.
