Por primera vez en más de un año, el ransomware no fue la principal amenaza, observada en los ataques registrados en el reporte Cisco Talos Incident Response (CTIR), en el segundo trimestre de 2022, ya que los commodity trojans –puestos a la venta como mercancía masiva y de fácil acceso– superaron al ransomware por un estrecho margen.
En comparación con trimestres anteriores, el ransomware representó un porcentaje significativamente menor, comprendiendo el 15% de todas las amenazas observadas este trimestre en comparación con el 25% del trimestre anterior.
Esto puede atribuirse a varios factores, como los recientes desmantelamientos de grupos de ransomware por parte de las fuerzas de seguridad en distintos países y su continua fractura interna.
Principales amenazas
- El sector de las telecomunicaciones volvió a ser el más atacado, continuando la tendencia del último trimestre.
- Los sectores del cuidado de la salud y la educación fueron los siguientes más atacados.
- Los grupos de ransomware como servicio (RaaS) más conocidos, como Conti y BlackCat, se dirigieron a organizaciones buscando obtener grandes rescates.
- Conti anunció el cese de sus operaciones a principios de este año, aunque todavía se desconocen los posibles efectos en el panorama del ransomware.
- Una nueva variante de RaaS llamada “Black Basta” es un presunto cambio de marca de Conti y es probable que sea una amenaza en los próximos trimestres.
- El ransomware LockBit lanzó una nueva versión que incluye nuevas opciones de pago en criptomoneda para las víctimas, tácticas de extorsión adicionales y un nuevo programa de recompensas por errores.
Otras lecciones
- El malware básico fue la principal amenaza observada este trimestre, con un 20 % de las amenazas. Las siguientes amenazas más observadas fueron el phishing, la amenaza del correo electrónico empresarial (BEC) y las amenazas internas.
- Al igual que en el primer trimestre de 2022, se siguen observando amenazas basadas en el correo electrónico que aprovechan diversas técnicas de ingeniería social para atraer a los usuarios a hacer clic o ejecutar un enlace o archivo determinado.
- Un caso notable de registrado en CTIR fue el de una variante de ransomware desconocida hasta entonces que tenía artefactos y componentes que se solapaban con al menos otras tres familias de ransomware.
- El principal país objetivo sigue siendo Estados Unidos. Otras organizaciones atacadas se ven globalmente en Europa, Asia, Norteamérica y Oriente Medio.
Cómo pueden protegerse las organizaciones
Los firewalls y los lineamientos de SNORTÒ, protegen contra el malware “commodity”
Las herramientas de seguridad para correo electrónico y plataformas analíticas de troyanos malware protegen a los usuarios de los correos electrónicos de phishing dirigidos y de los correos electrónicos empresariales comprometidos, que los adversarios utilizaron comúnmente este trimestre.
La principal recomendación para las organizaciones durante este trimestre es que implementen la autenticación multifactor (MFA) en todos los servicios críticos, así como implementar soluciones de detección y respuesta de puntos finales para registrar la actividad maliciosa en las redes y máquinas de las organizaciones.
El reporte completo de Cisco Talos se puede consultar en: https://blog.talosintelligence.com/2022/07/quarterly-report-incident-response.html