Adaptación del articulo “Ransomware Flashcard 2022: The Vicious Cycle” https://lumu.io/blog/ransomware-flashcard-2022/  y del «2022 Ransomware Flashcard» https://lumu.io/resources/2022-ransomware-flashcard

En febrero de 2022, CISA, junto con agencias de seguridad de Estados Unidos, Reino Unido y Australia, publicaron un informe titulado «Las Tendencias De 2021 Muestran Un Aumento De La Amenaza Globalizada Del Ransomware». Lo que llevo a Lumu a publicar una Ficha de Ransomware en la que se ofrecen algunas estadísticas sobre las tendencias que informan esta expectativa, además de observaciones realizadas desde su propio sistema.

El Circulo Vicioso

Según datos los de CyberEdge, las empresas que han pagado rescates por su información, han logrado recuperarla en mayor medida que antes (de un 19,4% en 2018 a un 71,6% en 2021), lo que ha conllevado a que cada vez más empresas estén dispuestas a pagar por la recuperación de sus datos (de un 38,7% en 2018 a un 57% en 2021). Esto, como consecuencia,  ha generado que los actores de las amenazas están más incentivados para lanzar ataques de Ransomware e inviertan más en ello, lo que lleva a un aumento de este tipo de ataques (de un 55,1% en 2018 a un 68,5% en 2021).

The Vicious Cycle of Ransomware: More victims of ransomware are recovering their data after paying a ransom, which incentivizes paying the ransom an din turn creates a profit motive for more and better ransomware attacks

Cada vez hay más víctimas de Ransomware que recuperan sus datos tras pagar el rescate, lo que incentiva el pago del mismo y, a su vez, crea un motivo de beneficio para realizar más y mejores ataques de este tipo.

Los organismos de seguridad llevan mucho tiempo abogando por que las empresas se nieguen a pagar rescates. Por desgracia, parece que las organizaciones no han adoptado (o no han podido adoptar) tal postura. Como resultado, se ha establecido un mercado y se ha alentado a los actores. Las pérdidas derivadas de estos ataques de Ransomware han sido tan graves que las aseguradoras cibernéticas han tenido que recortar las cantidades que cubren y, en algunos casos, han dejado de ofrecer pólizas que cubren el Ransomware. Cada vez más, el mejor curso de acción para las empresas no es mitigar su coste a través de un seguro, sino romper el ciclo no siendo golpeado en primer lugar.

Percepciones De Las Pequeñas Y Medianas Empresas (PYMES)

Los proveedores de seguridad gestionada (MSP) suelen estar en primera línea cuando se trata de hacer frente al Ransomware. Por ello, no es demasiado sorprendente que los MPS estén en su gran mayoría (84%) «muy preocupados por el Ransomware». Las PYMES, sin embargo, tienen una perspectiva muy diferente, ya que sólo el 30% afirma estar muy preocupado.

Como mencionaron en su pronóstico de ciberseguridad para 2022, las grandes empresas seguirán siendo víctimas de ataques sofisticados. Sin embargo, entrarán en el mercado nuevos actores de amenazas menos capacitados debido a la democratización del Ransomware a través de los mercados de acceso inicial, el malware como servicio y las cadenas de Ransomware. Estos grupos tendrán a las PYMES en el punto de mira.

Malware Precursor De Ransomware

El Ransomware no aparece de la nada. El malware precursor es utilizado por los actores de la amenaza para propagarse lateralmente y escalar el acceso antes de que se despliegue un paquete de Ransomware. Algunas de estas cepas de malware han evolucionado desde su propósito original como troyanos bancarios, otras están siendo creadas explícitamente para entregar Ransomware. Todos deben ser tomados en serio.

After intial access, threat actors deploy precursor malware to move laterally and escalate privileges before deploying a ransomware payload

Tras el acceso inicial, los actores de la amenaza despliegan malware precursor para moverse lateralmente y escalar privilegios antes de desplegar una carga útil de Ransomware

Los actores de las amenazas crean constantemente nuevos dominios (a veces utilizando algoritmos) para el mando y control remotos (C&C) de este tipo de malware con el fin de evitar su detección.  En 2021, Lumu recopiló 21.820.764 nuevos IoC confirmados que estaban relacionados con el malware precursor del Ransomware.

El malware precursor cuyos contactos fueron detectados con mayor frecuencia por Lumu fue Emotet, lo cual no es sorprendente ya que se trata de una de las redes de bots más grandes y resistentes del mundo. Emotet era originalmente un troyano bancario, pero recientemente se ha adaptado para formar una cadena de Ransomware con Trickbot que puede dar lugar al despliegue del Ransomware Ryuk.

Top 10 most active ransomware precursor malware contacts per month ransomware flashcard 2022

Los 3 programas precursores más activos para cada mes de 2021 por número de contactos.

Conclusión

Las organizaciones de seguridad nacional coinciden en que la amenaza que supone el Ransomware no hará más que aumentar en 2022. Por desgracia, el panorama del Ransomware debe evolucionar aún más dada la precaria situación geopolítica en la que se encuentra el mundo. Por ello, desde Lumu y Némesis, se anima a todas las organizaciones, así como al público en general, a tener en cuenta que cualquier empresa puede ser un objetivo. Los operadores de ciberseguridad tendrán que seguir deteniendo eficazmente los ataques que lleguen, y al mismo tiempo estar preparados para detectar, mitigar y remediar rápidamente los compromisos de todo tipo que se produzcan.