Ivanti, proveedor de la plataforma de automatización Ivanti Neurons que descubre, gestiona, seguriza y da servicio a los activos de TI desde la nube hasta el dipositivo, ha anunciado hoy los resultados del Ransomware Index Report del primer trimestre de 2022, realizado en colaboración con Cyber Security Works, una autoridad de numeración certificada (CNA), y Cyware, el proveedor líder de Cyber Fusion, SOAR de próxima generación y soluciones de inteligencia de amenazas.
El informe identificó un aumento del 7,6 % en el número de vulnerabilidades vinculadas al ransomware en el primer trimestre de 2022, con Conti explotando la mayoría de ellas. Desveló también 22 nuevas vulnerabilidades relacionadas con el ransomware (que elevan el total a 310) y relacionó a Conti – un prolífico grupo de ransomware que apoyó al gobierno ruso tras la invasión de Ucrania – con 19 de esas nuevas vulnerabilidades.
El informe reveló también un aumento del 7,5 % en los grupos APT asociados al ransomware y del 6,8 % en las vulnerabilidades explotadas activamente y de tendencia, junto con un incremento del 2,5 % en las familias de ransomware.
Según el informe, tres nuevos grupos de amenazas avanzadas persistentes, APT(Exotic Lily, APT 35, DEV-0401) empezaron a utilizar el ransomware como método de ataque en el primer trimester de 2022; 10 nuevas vulnerabilidades activas y de tendencia se asociaron al ransomware (elevando el total a 157), y cuatro nuevas familias de ransomware (AvosLocker, Karma, BlackCat, Night Sky) fueron activadas.
Además, el informe reveló que los operadores de ransomware continuaron convirtiendo en auténticas armas las vulnerabilidades, con un grado de rapidez desconocido hasta el momento, enfocándose en aquellas que generan la máxima distorsión e impacto. El aumento de la sofisticación de los grupos de ransomware, ha provocado que las vulnerabilidades se exploten en los ocho días siguientes a la publicación de los parches por parte de los distribuidores.
También, que cualquier mínimo descuido en las medidas de seguridad por parte de los proveedores y las empresas, es suficiente para que los grupos de ransomware puedan entrar e infiltrar redes vulnerables. Para agravar aún más la situación, algunos de los escáneres más utilizados no están detectando ciertas vulnerabilidades clave de ransomware. Según el studio, más del 3,5 % de vulnerabilidades asociadas al ransomware se pasan por alto, exponiendo a las organizaciones a gravísimos riesgos.
Aaron Sandeen, director general de Cyber Security Works, declaró: «El hecho de que los escáneres no detecten las vulnerabilidades críticas del ransomware, supone un serio problema para las organizaciones Como parte de la investigación y análisis del proyecto, los expertos de CSW llevaron a cabo un seguimiento exhaustivo; como consecuencia, se apreció un descenso en el número de vulnerabilidades, lo que significa que los fabricantes de escáneres se lo están tomando en serio.
Aún así, existen todavía 11 vulnerabilidades de ransomware que los escáneres no están detectando, cinco de ellas calificadas como críticas y asociadas a conocidas bandas como Ryuk, Petya y Locky.»
Otro obstáculo para los equipos de seguridad y TI es el hecho de que existen lagunas en la Base de Datos Nacional de Vulnerabilidades (NVD), la lista de Enumeración y Clasificación de Patrones de Ataque Comunes (CAPEC) de The MITRE Corporation y el Catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de la Agencia de Seguridad de la Ciberseguridad y las Infraestructuras de Estados Unidos (CISA).
El informe reveló que el NVD carece de Enumeración de Debilidades Comunes (CWE) para 61 vulnerabilidades, mientras que la lista CAPEC no dispone de CWE para 87 vulnerabilidades. También, que por término medio una vulnerabilidad de ransomware se incorpora al NVD una semana después de ser revelada por un proveedor. Al mismo tiempo, 169 vulnerabilidades vinculadas al ransomware aún no se han añadido a la lista KEV de CISA. Mientras tanto, los piratas informáticos de todo el mundo se centran activamente en 100 de estas vulnerabilidades, explorando las organizaciones en busca de una instancia sin parches para explotarla.
Srinivas Mukkamala, Vicepresidente Senior y Director General de Productos de Seguridad en Ivanti, declaró: «Los actores de amenazas están apuntando cada vez más a los fallos en la higiene cibernética, incluyendo la vulnerabilidad de la legitimidad de los procesos de gestión. Hoy en día, muchos equipos de seguridad y de TI se esfuerzan por identificar los riesgos del mundo real que representan las vulnerabilidades y, por tanto, las priorizan incorrectamente para su corrección. Por ejemplo, en muchos casos solo atenderán nuevas vulnerabilidades o aquellas que hayan sido divulgadas en el NVD. Otros, únicamente utilizarán el Common Vulnerability Scoring System (CVSS) para clasificarlas y priorizarlas.Con el fin de proteger mejor a las organizaciones contra los ciberataques, los equipos de seguridad y de TI necesitan adoptar una estrategia basada en el riesgo para gestionar la vulnerabilidad. Esto requiere una tecnología basada en la IA que pueda identificar las exposiciones de la empresa y las amenazas activas, proporcionar alertas tempranas de vulnerabilidad, predecir los ataques,y priorizar las actividades de corrección«.
El informe analizó también a 56 fabricantes de aplicaciones del sector sanitario, dispositivos médicos y hardware utilizados en hospitales y centros de salud, y descubrió 624 vulnerabilidades únicas en sus dispositivos. Cuarenta de esas vulnerabilidades tienen exploits públicos, y dos de ellas (CVE-2020-0601 y CVE-2021-34527) están asociadas a cuatro operadores de ransomware (BigBossHorse, Cerber, Conti y Vice Society). Lamentablemente, esto podría suponer un indicio de futuros ataques de ransomeware más agresivos dirigidos al sector sanitario en los próximos meses.
Anuj Goel, cofundador y director general de Cyware, afirmó: «El ransomware es en estos momentos uno de los vectores de ataque más comunes y que más están afectando a los resultados de las organizaciones a nivel mundial. Los resultados del informe de este primer trimester, destaca este hecho con nuevas cifras que muestran un aumento del número de vulnerabilidades de ransomware y de las APT que lo utilizan”.
A pesar de todo, una de las principales preocupaciones que ha surgido es la falta de visibilidad que tienen las amenazas por parte de los equipos de ciberseguridad de las empresas, debido a la confusion que genera la información disponible sobre el total de amenazas que llegan a través de las diferentes fuentes. Si los equipos de seguridad quieren mitigar los ataques de ransomware de forma proactiva, deben vincular su respuesta a los parches y vulnerabilidades a un flujo de trabajo centralizado de gestión de la inteligencia sobre amenazas, que impulse una visibilidad completa de los vectores de ataque de ransomware, que van cambiando continuamente de forma a través de la asimilación de información procedente de múltiples fuentes y de las acciones de seguridad.
El Ransomware Index Spotlight se basa en datos recogidos de diversas fuentes, incluyendo datos propios de Ivanti y CSW, bases de datos de amenazas de acceso público, e investigadores de amenazas y equipos de pruebas de penetración. Haz clic aquí para acceder al informe completo.