Zscaler, Inc. (NASDAQ: ZS), el líder en seguridad en la nube, ha publicado hoy las conclusiones de su informe anual ThreatLabz Ransomware Report, que revela un aumento del 80% en los ataques de ransomware con respecto al año anterior. En 2022, las tendencias de ransomware más destacadas son la doble extorsión, los ataques a la cadena de suministro, el ransomware como servicio, el cambio de identidad del ransomware y los ataques de ransomware por motivos geopolíticos. El informe analiza más de un año de datos de la mayor nube de seguridad del mundo, que procesa más de 200 mil millones de transacciones diarias y 150 millones de ataques diarios bloqueados a través de Zscaler Zero Trust Exchange™. El informe detalla cuáles son las industrias más atacadas por los ciberdelincuentes, explica el daño causado por los ataques de doble extorsión y de la cadena de suministro, y cataloga los grupos de ransomware más activos que operan en la actualidad.
Las estrategias utilizadas y el alcance de los ataques de ransomware no han dejado de evolucionar, pero el objetivo final sigue siendo la disrupción de la organización objetivo y el robo de información sensible para exigir un rescate. La cuantía del rescate suele depender del número de sistemas infectados y del valor de los datos robados: cuanto mayor sea la apuesta, mayor será el pago. En 2019, muchos grupos de ransomware actualizaron sus tácticas para incluir la extracción de datos, comúnmente conocida como ransomware de «doble extorsión». Un año más tarde, algunos grupos añadieron una nueva dimensión de ataque con tácticas de denegación de servicio distribuido (DDoS) que bombardean el sitio web o la red de la víctima, creando más interrupciones en el negocio, presionando así a la víctima para que negocie.
Este año, la tendencia más peligrosa del ransomware consiste en ataques a la cadena de suministro, que se dirigen a la empresa de un proveedor y utilizan las conexiones establecidas y los archivos, redes o soluciones compartidos para realizar ataques de segunda etapa a los clientes de ese proveedor. ThreatLabz también observó un crecimiento de casi el 120% en las víctimas de ransomware de doble extorsión, según los datos publicados en los sitios de filtración de datos de los actores de amenazas.
Por segundo año consecutivo, las empresas industriales fueron las más atacadas, con casi uno de cada cinco ataques de ransomware hacia ellas. Sin embargo, los ataques a otros sectores crecen rápidamente. La tasa de crecimiento de los ataques a las empresas relacionadas con la sanidad fue especialmente llamativa, con un aumento de los ataques de doble extorsión de casi el 650% en comparación con 2021. Le sigue el sector de la restauración y los servicios alimentarios, que experimentó un aumento del 450% en el ransomware.
A medida que las autoridades de todo el mundo han empezado a tomarse en serio el ransomware, muchos grupos de amenazas se han disuelto y han vuelto a formarse con nuevos nombres. Por ejemplo, DarkSide se transformó en BlackMatter, DoppelPaymer en Grief y Rook en Pandora. Con todo, esta amenaza no ha disminuido, aunque sus tácticas hayan variado. Ahora muchos ofrecen sus herramientas a la venta en la web oscura, aumentando su escala a través de un modelo de negocio de ransomware como servicio.
A principios de este año, Estados Unidos emitió una declaración en la que advertía de la posibilidad de que se produjeran conductas de ciberseguridad dañinas contra Estados Unidos como respuesta a las sanciones económicas impuestas a Rusia. La declaración instaba a tomar medidas inmediatas para reforzar las ciberdefensas tanto en las organizaciones del sector público como del privado. Otros países que apoyan a Ucrania lanzaron advertencias similares. Hasta la fecha, ThreatLabz ha identificado múltiples ataques, como el uso del ransomware PartyTicket y el malware HermeticWiper contra Ucrania, y ataques del grupo de amenazas Conti contra diferentes organismos gubernamentales. ThreatLabz sigue monitorizando los posibles ataques geopolíticos.
Desai señaló que «para minimizar las posibilidades de ser víctimas de una vulneración y el daño que puede causar un ataque exitoso de ransomware, las organizaciones deben utilizar estrategias de defensa que incluyan la reducción de la superficie de ataque, la adopción de una arquitectura Zero Trust que pueda reforzar un control de acceso con mínimos privilegios, y la supervisión e inspección continua de los datos en todos los entornos».
Cómo Zscaler Zero Trust Exchange puede prevenir los ataques de ransomware
Zscaler Zero Trust Exchange incorpora controles de prevención de ransomware en una arquitectura completa de confianza cero que interrumpe cada etapa de los ataques y minimiza los daños. Las siguientes mejores prácticas y prestaciones avanzadas pueden reducir significativamente el riesgo de un ataque de ransomware.
Prevención de ataques con políticas de seguridad coherentes: Con inspección SSL completa a escala, aislamiento del navegador, sandboxing en línea y control de acceso basado en políticas para evitar el acceso a sitios web maliciosos.
Eliminación de los desplazamientos laterales mediante la exclusión de las aplicaciones de Internet y la implantación de una arquitectura de acceso a la red de confianza cero (ZTNA): conectando a los usuarios directamente con las aplicaciones, no con la red, para limitar el radio de explosión de un ataque.
Cerrar el paso a los usuarios comprometidos y a las amenazas internas: combinando la inspección de aplicaciones en línea y las funcionalidades de engaño integradas para detectar y confundir, y detener a los posibles atacantes.
Detención de la pérdida de datos: mediante la actualización del software y la formación, así como el empleo de la prevención de la pérdida de datos en línea y la inspección de los datos tanto en movimiento como en reposo, se evitará que los actores de amenazas los roben.
Para obtener más detalles sobre cómo protegerse contra el ransomware y las amenazas, y cómo desarrollar un plan de respuesta al ransomware, consulte el Informe sobre el estado del ransomware de ThreatLabz de 2022.
