Sophos publicó su informe anual 2024 Sophos Threat Report, en el que este año se detalla el “Cibercrimen en Main Street” y las mayores amenazas a las que se enfrentan las pequeñas y medianas empresas (PYMES*). Según el informe, en 2023, casi el 50% de los programas maliciosos detectados para las PYMES fueron keyloggers, spyware y stealers, programas maliciosos que los atacantes utilizan para robar datos y credenciales. Posteriormente, los atacantes utilizan esta información robada para obtener acceso remoto no autorizado, extorsionar a las víctimas, desplegar ransomware, entre otros.
El informe de Sophos también analiza los intermediarios o brokers de acceso inicial (IAB, por sus siglas en inglés), delincuentes especializados en entrar en redes informáticas. Como se ve en el informe, los IAB utilizan la dark web para anunciar habilidades y servicios para penetrar específicamente en redes de PYMES o vender accesos a PYMES que ya han hackeado.
Arriba: Descubierto por Sophos X-Ops: ejemplo de una publicación en un foro de la dark web que ofrece el acceso a una pequeña empresa de contabilidad estadounidense. Encuentra más ejemplos de anuncios de ciberdelincuentes dirigidos a PYMES, por industria y país, en el Informe de Sophos sobre Amenazas 2024.
“El valor de los ‘datos’, como moneda ha aumentado exponencialmente entre los ciberdelincuentes, y esto es particularmente aplicable para las PYMES, que tienden a utilizar un servicio o aplicación de software para toda su operación. Por ejemplo, digamos que los atacantes despliegan un infostealer en la red de su objetivo para robar contraseñas y luego hacerse con el password del software de contabilidad de la empresa. Los atacantes podrían entonces obtener acceso a las finanzas de la empresa objetivo y tener la capacidad de canalizar fondos a sus propias cuentas”, dijo Christopher Budd, director de investigación de Sophos X-Ops en Sophos. “Hay un motivo por el que más del 90% de todos los ciberataques reportados a Sophos en 2023 involucraron el robo de datos o credenciales, ya sea a través de ataques de ransomware, extorsión de datos, acceso remoto no autorizado o simplemente robo de datos.”
El ransomware sigue siendo la mayor ciberamenaza para las pymes
Aunque el número de ataques de ransomware contra pymes se ha estabilizado, sigue siendo la mayor ciberamenaza para ellas. De los casos de PYMES gestionados por Sophos Incident Response (IR), que ayuda a las organizaciones bajo ataque activo, LockBit fue la principal banda de ransomware que causó estragos. Akira y BlackCat ocuparon el segundo y tercer lugar, respectivamente. Las PYMES estudiadas en el informe también se enfrentaron a ataques de ransomware persistente más antiguo y menos conocido, como BitLocker y Crytox.
Según el informe, los operadores de ransomware siguen cambiando sus tácticas. Esto incluye aprovechar el cifrado remoto y dirigirse a los proveedores de servicios gestionados (MSP). Entre 2022 y 2023, el número de ataques de ransomware que implicaron cifrado remoto (cuando los atacantes utilizan un dispositivo no gestionado en las redes de las organizaciones para cifrar archivos en otros sistemas de la red) aumentó en un 62%.
Además, el año pasado, el equipo de Managed Detection and Response (MDR) de Sophos respondió a cinco casos de pequeñas empresas que fueron atacadas a través de un fallo en el software de monitorización y gestión remota (RMM) de sus proveedores de servicios administrados.
Los atacantes refinan sus ataques de ingeniería social y de correo electrónico empresarial comprometido
Después del ransomware, los ataques de correo electrónico empresarial comprometido fueron el segundo tipo más frecuente de ataques que Sophos IR manejó en 2023, según el informe de Sophos.
Estos ataques y otras tácticas de ingeniería social presentan un nivel de sofisticación cada vez mayor. En lugar de simplemente enviar un correo electrónico con un archivo adjunto malicioso, los atacantes son ahora más capaces de interactuar con sus objetivos mediante el envío de una serie de correos electrónicos conversacionales de ida y vuelta e incluso llamándolos por teléfono.
En un intento de eludir la detección por parte de las herramientas tradicionales de prevención de spam, los atacantes están experimentando con nuevos formatos para enviar su contenido malicioso, incrustando imágenes que contienen el código malicioso o enviando archivos adjuntos maliciosos en formatos OneNote o de archivo. En un caso investigado por Sophos, los atacantes enviaron un documento PDF con una miniatura borrosa e ilegible de una “factura”. El botón de descarga contenía un enlace a un sitio web malicioso.
Para obtener información detallada sobre estos y otros ciberdelitos dirigidos a PYMES, consulta el Informe de Sophos sobre Amenazas 2024: Cibercrimen en Main Street en Sophos.com.