En los últimos dos años nos hemos acostumbrado a escuchar cómo el virus del Covid evoluciona, sufre mutaciones y aparecen nuevas variantes. Algo que puede servir como ejemplo para entender como el virus tecnológico más preocupante de la actualidad, el ransomware, se comporta de la misma forma para poder evitar las barreras que se le ponen. Sin ir más lejos, sólo el año pasado se identificaron 32 nuevas familias de ransomware, elevando el total a 157, lo que representa un aumento del 26% respecto al 2020 según se desprende del informe Ransomeware Spotlight 2021 Year End Report realizado por Ivanti junto con Cyber Security Works, CNA y Cyware
Lo peor de todo es que las vacunas también funcionan de la misma forma que en el mundo real: ayudan, pero nada impide que un equipo o una red se contagie. La gran diferencia, quizá, es que el porcentaje de vacunación es mucho más alto en la vida real que en el mundo cibernético ya que el informe reveló que los ataques de ransomware siguen centrándose en las vulnerabilidades no parcheadas y utilizan como método de ataque las vulnerabilidades de “día cero” en un tiempo record, provocando ataques devastadores. Al mismo tiempo, amplían sus áreas de actuación y encuentran nuevas formas de vulnerar las infraestructuras de las empresas y desencadenar ataques de gran impacto.
El análisis detectó 65 nuevas vulnerabilidades relacionadas con el ransomware durante el 2020, lo que representa un crecimiento del 29 % en comparación con el año anterior, y eleva el número total de vulnerabilidades asociadas al ransomware a 288. Es alarmante que más de un tercio (37 %) de estas nuevas vulnerabilidades fueran tendencia en la web oscura (Deep Web) y fueran explotadas repetidamente. En paralelo, el 56 % de las 223 vulnerabilidades más antiguas identificadas antes del 2021, siguieron siendo explotadas por grupos de ransomware. Esto confirma que las empresas deben priorizar y parchear las vulnerabilidades que son el objetivo de los grupos de ransomware, tanto si se trata de vulnerabilidades de identificación reciente como de otras más antiguas.
Grupos de ransomware
Los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de “día cero”, incluso antes de que los CVE se incorporen a la base de datos nacional de vulnerabilidades y se publiquen los parches. Las vulnerabilidades de QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) y, más recientemente, Apache Log4j (CVE-2021-44228) fueron explotadas incluso antes de llegar a la National Vulnerability Database (NVD). Esta tendencia alarmante pone de manifiesto la necesidad de agilizar, por parte de los proveedores, el momento de desvelar las vulnerabilidades y publicar los parches en función de su prioridad. También, destaca que es necesario que las empresas pongan su foco más allá del NVD y estén atentas a las tendencias de las vulnerabilidades, los casos de explotación, los avisos de los proveedores y las alertas de las agencias de seguridad, mientras priorizan las vulnerabilidades a parchear.
La cadena de suministro
Y por supuesto, los ataques de moda se centran de forma cada vez más creciente a las redes de la cadena de suministro para infligir grandes daños y causar un caos generalizado. Un solo virus en la cadena de suministro puede suponer la puerta de acceso para que los ciberdelincuentes secuestren distribuciones completas de sistemas en cientos de redes de víctimas. El año pasado, los ciberdelincuentes atacaron las redes de la cadena de suministro a través de aplicaciones de terceros, productos específicos de proveedores y bibliotecas de código abierto. Una de las claves de este auge de ciberataques a la cadena de suministro se debe, entre otros aspectos, porque los grupos de ransomware comparten cada vez más sus servicios, al igual que las ofertas legítimas de SaaS. El “ransomware como servicio” es un modelo de negocio en el que los desarrolladores de este tipo de malware ofrecen sus servicios, versiones, kits o código a otros actores maliciosos, a cambio de una remuneración. Las soluciones de explotación como servicio permiten a los actores de las amenazas alquilar explotaciones de “día cero” a los desarrolladores. Además, el Dropper-as-a-Service (DaaS) permite a los ciberdelicuentes inexpertos distribuir malware a través de programas que, cuando se ejecutan, pueden poner en marcha una carga útil maliciosa en el ordenador de la víctima. Y el Trojan-as-a-Service («troyano como servicio»), también llamado “malware como servicio”, permite a cualquier persona con una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación.
Sólo el año pasado se identificaron 32 nuevas familias de ransomware, elevando el total a 157, lo que representa un aumento del 26%
Ataques masivos
El informe señala que con un total de 157 variantes de ransomware que explotan 288 vulnerabilidades, los grupos de ransomware pueden estar capacitados para realizar ataques masivos en los próximos años. Además, según Coveware, las empresas pagan en la actualidad una media de 220.298 dólares y se someten a 23 días de inactividad tras un ataque de ransomware.
Con todos estos datos Srinivas Mukkamala, vicepresidente senior de Productos de Seguridad de Ivanti, cree que » ya que los grupos de ransomware son cada vez más numerosos y sus ataques más impactantes y viendo que aprovechan los kits de herramientas automatizadas para explotar las vulnerabilidades y penetrar más profundamente en las redes afectadas ampliando sus objetivos es necesario priorizar las vulnerabilidades basadas en el riesgo y la aplicación de una estrategia de parches automatizada, para identificar y anteponer los puntos débiles de las vulnerabilidades, para posteriormente acelerar su corrección.»
