El ransomware continúa siendo la principal preocupación del CISO, ¿qué tendencias podemos ver para el resto del año?
El ransomware fue nuevamente la principal amenaza en ciberatques durante el primer trimestre de 2022 detectado por Cisco Talos Incident Response (CTIR), aunque hubo una mayor variedad de malware utilizado por los actores adversos. CTIR no observó ninguna familia de ransomware utilizada más de una vez, indicativo de que hay una mayor democratización del panorama de los riesgos en ciberseguridad, una tendencia que empezamos a ver el año pasado. La reciente ola de filtraciones del grupo de ransomware Conti también muestra que es probable que este cambio continúe.
PRINCIPALES AMENAZAS
Siguiendo la tendencia de todo el año, el ransomware fue la principal amenaza del primer trimestre del año, aunque solo representó 25% de las amenazas observadas frente al 27% del trimestre previo.
- El sector de las telecomunicaciones fue el objetivo de los ataques CTIR, rompiendo una racha de varios trimestres en los que los atacantes se dirigían a la industria del cuidado de la salud más que cualquier otro sector.
- En este trimestre también aparecieron por primera vez tres familias de ransomware, como Cerber (alias CerberImposter), Entropy y Cuba.
- Los atacantes aprovecharon con frecuencia la vulnerabilidad Log4j revelada por primera vez en diciembre de 2021.
- Wave Browser, un supuesto navegador web, fue visto en varios casos. Se trata de un programa potencialmente no deseado (PUP) asociado con adware y el secuestro de navegadores que el CTIR vinculó con actividades maliciosas.
LECCIONES ADICIONALES
- La banda de ransomware as a service (RaaS) de Conti experimentó varias oleadas de filtraciones en el último trimestre, revelando el código fuente del malware y otras piezas clave de información sobre el grupo. CTIR advierte que estas filtraciones pueden dificultar la atribución del actor de la amenaza en los casos que implican las típicas tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) de Conti.
- En el primer trimestre de 2022 se produjo un aumento de amenazas avanzadas persistentes (APT, por sus siglas en inglés) concretamente ataques del grupo MuddyWater, patrocinado por el Estado iraní, y el actor Mustang Panda, con sede en China, que desplegó el troyano de acceso remoto PlugX.
- Los adversarios usaron la vulnerabilidad de Log4j para atacar los servidores VMware Horizon, en el que los atacantes la aprovecharon para instalar mineros de criptomonedas maliciosos.
- Aunque Log4j ha estado allá afuera durante varios meses ya, CTIR considera que los atacantes lo incluyan constantemente en sus tácticas en el futuro.
Definitivamente el ransomware sigue avanzando y en más frentes, lo único que nos queda es reforzar y elevar cada vez más la seguridad de nuestras empresas.