Durante los últimos dos años se ha producido una creciente pandemia de ransomware paralela a la de Covid-19. En su último informe Global Cybersecurity Outlook 2022, el Foro Económico Mundial documentó un aumento del 151% en los ataques globales de ransomware durante 2021. En él, nueve de cada diez expertos en ciberseguridad consultados señalaron a las pymes como los objetivos más vulnerables.
Los investigadores de Darktrace descubrieron que los ataques de ransomware a organizaciones estadounidenses se triplicaron en 2021 en comparación con 2020, y esta tendencia creciente se está dando a un ritmo acelerado en 2022. Este aumento también está ocurriendo en México – y en todo el mundo –.
Pero no es solo el número de incidencias de ataques lo que es alarmante; es la naturaleza evolutiva de estos ataques lo que constituye la preocupación más significativa para los analistas de ciberseguridad y los gobiernos de todo el mundo.
Es casi seguro que las bandas de ransomware tendrán como objetivo a los proveedores de servicios en la nube, de copias de seguridad y de archivo en 2022. Muchas organizaciones piensan que el ransomware no debería ser una preocupación seria si tienen copias de seguridad de los datos esenciales porque pueden volver a poner en línea “rápidamente” las operaciones del negocio.
Pero los ataques modernos ya no se limitan a cifrar o exfiltrar datos. A medida que las bandas de ransomware se vuelven más sofisticadas, también han comenzado a centrarse en maximizar la interrupción de las operaciones comerciales, incluyendo cada vez más a las copias de seguridad, y a los proveedores de servicios de estas copias, para el cifrado y la eliminación.
Las bandas de ransomware más sofisticadas ampliarán sus esfuerzos de “caza mayor” dirigidos a objetivos grandes y conocidos, para dirigirse cada vez más a organizaciones de tamaño medio y pequeño. Con el aumento de la escalabilidad a través de la automatización y el aprovechamiento de los ataques a la cadena de suministro, las bandas de ransomware tendrán los recursos para ampliar sus operaciones e incluso aumentar la eficiencia de los ataques.
Teniendo en cuenta que las empresas más grandes tienen presupuestos, recursos y personal de seguridad más importantes, es más probable que puedan priorizar los recursos para hacer frente a los efectos del ransomware. Mantenerse por delante de los atacantes y recuperarse de sus asaltos será mucho más difícil para las pequeñas empresas.
No sólo los operadores de ransomware están ampliando sus objetivos, sino que también está creciendo el grupo de ciberatacantes capaces de ejecutar los ataques. El ransomware como servicio (RaaS) amplía la superficie de ataque al reducir la barrera de entrada para los atacantes. El RaaS amplía el ecosistema criminal para incluir a los actores de amenazas de menor nivel. Muchos utilizan ahora bots para automatizar y escalar el ataque inicial que les permite entrar en el sistema.
En la actualidad, existe una gama más amplia de profesionalidad entre los ciberdelincuentes, desde veteranos (con experiencia actual o previa en el Estado-nación) hasta ciberdelincuentes inexpertos con poca experiencia que se apoyan en software preexistente y en agentes de acceso para facilitar los ataques. Esta variedad se traduce en un potencial más significativo para el uso no probado o imprudente de herramientas sofisticadas por parte de actores no sofisticados.
Según informes recientes, cuatro grupos de ransomware existentes han formado un cártel para intercambiar datos y “mejores” prácticas. Estos grupos son Wizard Spider, vinculado a las cepas de ransomware Ryuk y Conti, Twisted Spider (que desarrolló Maze y utiliza Egregor), Viking Spider (el grupo detrás de Ragnar) y LockBit.
Incluso si las presiones gubernamentales obligan a los grupos de ransomware a disolverse o a imputar penalmente a las bandas de ransomware, estos grupos seguirán cambiando de identidad y volverán a surgir con técnicas y capacidades aún más sofisticadas.
La ciberseguridad ya no es un problema a escala humana, y los responsables de seguridad deben empezar a pensar más allá de la irrupción de sus sistemas para maximizar la continuidad de las operaciones empresariales. La mejor manera de interrumpir los ataques en los primeros indicadores de comportamiento anormal malicioso, como el cifrado de archivos o la exfiltración de datos, es mediante un enfoque de inteligencia artificial (IA) dinámico y de autoaprendizaje, en lugar de las defensas perimetrales tradicionales “robustas”.
Los atacantes están penetrando las redes, encontrando información valiosa, exfiltrando y encriptando datos a velocidades cada vez más alarmantes, reduciendo la ventana de respuesta de los defensores para detectar y detener los ataques. En esta carrera contra el tiempo, las organizaciones defensoras deben ser más rápidas. Las empresas de todos los tamaños necesitan un software de seguridad que aprenda, tome microdecisiones y adopte respuestas proporcionales y específicas para detectar y detener la actividad maliciosa antes de que se produzca un ataque a gran escala, idealmente mientras se preserva la continuidad del negocio.
En una época de ciberataques rápidos y de actores de amenazas que atacan deliberadamente cuando los equipos de seguridad están fuera de la oficina, las tecnologías basadas en IA se han convertido en esenciales para reforzar nuestros equipos humanos y tomar medidas específicas para contener las amenazas sin interrumpir la actividad normal del negocio.
