El flagelo del ransomware continúa creciendo y mostrando éxito para los atacantes, según el Informe Ransomware Radar 2024 de Rapid7. Este informe destaca un aumento significativo en los ataques y filtraciones, junto con una mayor sofisticación en las tácticas utilizadas por los cibercriminales.
En 2024, la amenaza del ransomware ha alcanzado un nivel aún más severo en comparación con 2023. Durante la primera mitad del año, Rapid7 ha rastreado más de 2.500 ataques de ransomware, lo que equivale a más de 14 incidentes públicos por día. Este número podría ser mucho mayor si se consideran los ataques no reportados y aquellos donde el rescate fue pagado sin filtración de datos.
El informe muestra un aumento en el número de publicaciones en sitios de filtraciones, pasando de un promedio de 24 por mes en el primer semestre de 2023 a 40 por mes en el mismo período de 2024. Esto refleja la continua migración de los atacantes hacia la extorsión doble, que combina la encriptación de datos con la exfiltración y filtración de información.
En los primeros seis meses de 2024, Rapid7 observó 21 nuevos grupos de ransomware. Un caso notable es el grupo RansomHub, que rápidamente se estableció como un prominente grupo de extorsión al hacer 181 publicaciones en su sitio de filtraciones entre febrero y junio de 2024.
La investigación también reveló que las pequeñas y medianas empresas son los objetivos más comunes, especialmente aquellas con ingresos anuales de alrededor de 5 millones de dólares, ya que son suficientemente grandes para poseer datos valiosos pero no tan protegidas como las grandes corporaciones.
Los cibercriminales siguen prefiriendo ciertos algoritmos de encriptación por su eficiencia y capacidad de evasión de seguridad. Los tres algoritmos más comunes son AES (Advanced Encryption Standard), ChaCha y RC4. AES es ampliamente reconocido por su seguridad y eficiencia, mientras que ChaCha es valorado por su alto rendimiento en software, especialmente en plataformas sin hardware criptográfico especializado. RC4, aunque considerado inseguro, todavía se utiliza en entornos menos sofisticados debido a su simplicidad y velocidad.
El acceso inicial sigue siendo una parte crítica de la cadena de ataques de ransomware. Los brokers de acceso juegan un papel vital al vender credenciales y acceso a redes corporativas en foros clandestinos. Remote Desktop Protocol (RDP) y VPN son los métodos de acceso más comunes, destacando la necesidad de asegurar estos puntos de entrada con medidas de seguridad robustas.
El informe subraya la necesidad de que las organizaciones fortalezcan sus defensas cibernéticas. La implementación de autenticación multifactor (MFA), la aplicación rigurosa de parches de seguridad y la gestión proactiva de la superficie de ataque son esenciales para mitigar el riesgo de acceso inicial y posterior despliegue de ransomware.
Rapid7 continúa investigando y desarrollando tecnologías de prevención de ransomware para proteger a sus clientes contra las amenazas más recientes. A medida que la amenaza del ransomware evoluciona, también deben hacerlo las estrategias de defensa cibernética, requiriendo una vigilancia y adaptación continuas.
El ransomware en 2024 ha demostrado ser una amenaza persistente y en evolución, con un aumento en la cantidad de ataques y una mayor sofisticación en las tácticas utilizadas. Las organizaciones deben mantener una postura defensiva proactiva y adaptativa para protegerse contra esta creciente amenaza.
