El rastreo de Trend Micro del ransomware moderno, así como de familias más antiguas, muestra cuáles son los atacantes que están ganando momentum y cuáles familias son particularmente peligrosas para las empresas y los usuarios privados.
En la primera mitad del 2021, vimos que las amenazas de ransomware moderno aún estaban activas y evolucionando, usando técnicas de doble extorsión para victimizar. A diferencia de las tácticas tradicionales de ransomware, los adversarios actuales usan los datos privados robados de las máquinas de las víctimas para ejercer presión y amenazan con publicar información valiosa en la web si no se paga el rescate. Después en el año, nuestro rastreo de estas amenazas, así como de familias más antiguas de ransomware, muestra cuáles son los ataques que están ganando momentum y cuáles familias son particularmente peligrosas para las empresas y los usuarios privados.
Una exploración profunda al ransomware moderno en el 2020
El número total de detecciones de amenazas de ransomware por Trend Micro, el cual cubre todos los tipos de ransomware, disminuyó en junio y julio pero comenzó a repuntar en agosto nuevamente. Después de revisar los blancos de estas amenazas de ransomware, descubrimos que las empresas fueron las más afectadas seguido de los consumidores.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Captura-de-pantalla-2021-12-21-112020-300×209.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”209″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Captura-de-pantalla-2021-12-21-112117-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
Aunque los actores de amenazas continúan utilizando varias tácticas para abusar de los sistemas de los usuarios, nuestro rastreo de familias más antiguas de ransomware así como del ransomware moderno muestra algunas diferencias.
WannaCry (también conocido como WCry), una amenaza más tradicional, ha dominado desde el 2007. Para comprender las tendencias de las familias de ransomware moderno, debemos revisar los datos sin tomar en cuenta WCry, así como revisar el movimiento de WCry por sí solo. Como muestra la siguiente tabla, al excluir a WCry, podemos ver el incremento en las demás familias de ransomware. Por otro lado, podemos observar que el legado de WCry está en declive. Otras familias más antiguas como Locky también pueden ser consideradas como ransomware legacy y por lo tanto podrían estar en la misma situación en el futuro.
El ransomware moderno o post-intrusión típicamente se carga después de que otro malware obtiene acceso al dispositivo de una víctima. Los últimos rankings indican la volatilidad de estas familias modernas de ransomware de alto perfil. Por ejemplo, Sodinokibi (también conocido como REvil) muestra comportamiento irregular. Debido a la naturaleza “dirigida” de estas familias, la contabilización de las detecciones incrementan dependiendo de si ocurren o no ataques específicos. con el ransomware tradicional, las campañas son liberadas sin un blanco en específico, como una red que atrapa lo que puede.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Captura-de-pantalla-2021-12-21-112214-300×111.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”111″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Figura-4-300×295.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”295″]
Emotet, Ryuk y Trickbot son las tres familias de malware con la el mayor número de campañas activas hasta este momento en el 2021. En enero de 2021, agencias policiacas de ocho países se coordinaron para disrumpir al botnet Emotet, causando el declive en enero y febrero como se ve en la figura 5. Desafortunadamente, aún con esta disrupción, los operadores de Emotet restantes continuaron con sus campañas. Emotet es ampliamente conocido como un ejemplo de malware como servicio, lo cual le da acceso a otros grupos a equipos comprometidos. Trickbot también ha sido usado para el movimiento lateral a través de una red para la propagación. muchos operadores de ransomware, como aquellos que distribuyen Ryuk, han usado estas herramientas y servicios para realizar sus campañas
De estas familias, Emotet tiene el índice más alto de detección (detectamos tanto la carga maliciosa primaria así como las notas de rescate). Ryuk ha incrementado consistentemente durante el año y ha mostrado un incremento significativo en agosto. Cabe notar, el incremento de 734.1% posiblemente fue causado por algunos ataques específicos de gran escala. Nuestros datos muestran que el incremento considerable ocurrió solamente en las categorías enterprise y PyMEs, mostrando que podría formar parte de ataques particulares hacia los sectores corporativos. En septiembre, el número había bajado considerablemente.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Figura-5-300×205.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”205″]
La amenaza global del ransomware post-intrusión
Los grupos de ransomware post-intrusión utilizan varias herramientas y cuentas comprometidas para el acceso y el movimiento lateral – y estas familias generalmente son más sofisticadas que el ransomware tradicional. Observamos que las detecciones del ransomware post-intrusión fueron consistentes desde el 2019 hasta el tercer trimestre del 2020. Sin embargo, en el cuarto trimestre del 2020, observamos un incremento dramático. Aunque el ransomware post-intrusión en el 2021 disminuyó a comparación del cuarto trimestre del 2020, es todavía significativamente mayor cuando se compara con el número de detecciones desde el primer hasta el tercer trimestre de 2020.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Figura-6-300×278.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”278″]
Países como los Estados Unidos, India, Japón Alemania y otros se vieron consistentemente afectados por ransomware post–intrusión desde 2019 hasta la primera mitad del 2021. Sin embargo, el Reino Unido, Singapur, Hong Kong y los Países Bajos observaron que el índice de sus incidentes de ransomware incrementó y estos países subieron en el ranking de países con detecciones de ransomware desde 2019 hasta la primera mitad del 2021.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/12/Figura-7-300×89.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”89″]
De acuerdo con los datos de la tabla anterior, los actores de ransomware parecen estar siguiendo una tendencia donde ya sea continúan atacando países donde anteriormente fueron exitosos o incrementan sus esfuerzos ahí. Lo vemos especialmente en el Reino Unido y los Países Bajos. Estas dos tendencias también podrían indicar que los actores de ransomware están lentamente abandonando los países donde no encuentran mucho éxito.
Soluciones y recomendaciones de seguridad
Los grupos de ransomware son una amenaza persistente, y continúan evolucionando su estrategia de negocio así como las herramientas y técnicas que utilizan para atacar a las empresas. Las organizaciones pueden mitigar los riesgos del ransomware con estas mejores prácticas:
- Despliegue soluciones de detección y respuesta entre capas. Encuentre las soluciones que puedan anticipar y responder a las actividades, técnicas y movimientos del ransomware antes de que la amenaza culmine. Trend Micro Vision One™️ with Managed XDR ayuda a detectar y bloquear los componentes del ransomware para detener ataques antes de que puedan afectar a una empresa.
- Haga una guía para la prevención y la recuperación. Invierta en equipos de respuesta a incidentes (equipos IR), así como en una guía dedicada y específica para la empresa. Los frameworks para las guías de IR permiten que una organización pueda planear y prepararse ante ataques como ransomware y brechas. Mantenga estas guías con los procedimientos específicos que todos puedan seguir en caso de ser necesario.
- Realice simulaciones de ataques. Exponga a los empleados a una simulación realista de un ciberataque. Esto puede ayudar a los tomadores de decisión, al personal de seguridad y a los equipos IR identificar y prepararse ante las brechas potenciales de seguridad así como los puntos de presión en sistemas y personas.
Leave a Reply