Ivanti, proveedor de la plataforma de automatización Ivanti Neurons que descubre, gestiona, seguriza y da servicio a los activos de TI desde la nube hasta el dispositivo, ha hecho públicos los resultados del informe Ransomeware Spotlight 2021 Year End Report , realizado en colaboración con Cyber Security Works, CNA (una referencia en numeración certificada) y Cyware, proveedor líder de Cyber Fusion, el SOAR (orquestación, automatización y respuesta de seguridad) de nueva generación y soluciones de inteligencia de amenazas.El informe identificó 32 nuevas familias de ransomware en 2021, elevando el total a 157, lo que representa un aumento del 26 % respecto al 2020.
El informe reveló también que estos ataques de ransomware siguen centrándose en las vulnerabilidades no parcheadas, y utilizan como método de ataque las vulnerabilidades de “día cero” en un tiempo record, provocando ataques devastadores. Al mismo tiempo, amplían sus areas de actuación y encuentran nuevas formas de vulnerar las infraestructuras de las empresas y desencadenar ataques de gran impacto.
Estas son algunas de las principales observaciones y tendencias del Informe:
- Las vulnerabilidades no parcheadas siguen siendo los vectores de ataque más importantes explotados por los grupos de ransomware.El análisis detectó 65 nuevas vulnerabilidades relacionadas con el ransomware durante el 2020, lo que representa un crecimiento del
29 % en comparación con el año anterior, y eleva el número total de vulnerabilidades asociadas al ransomware a 288. Es alarmante que más de un tercio (37 %) de estas nuevas vulnerabilidades fueran tendencia en la web oscura (Deep Web) y fueran explotadas repetidamente. En paralelo, el 56 % de las 223 vulnerabilidades más antiguas identificadas antes del 2021, siguieron siendo explotadas por grupos de ransomware. Esto confirma que las empresas deben priorizar y parchear las vulnerabilidades que son el objetivo de los grupos de ransomware, tanto si se trata de vulnerabilidades de identificación reciente como de otras más antiguas.
- Los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de “día cero”, incluso antes de que los CVE se incorporen a la base de datos nacional de vulnerabilidades y se publiquen los parches. Las vulnerabilidades de QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) y, más recientemente, Apache Log4j (CVE-2021-44228) fueron explotadas incluso antes de llegar a la National Vulnerability Database (NVD). Esta tendencia alarmante pone de manifiesto la necesidad de agilizar, por parte de los proveedores, el momento de desvelar las vulnerabilidades y publicar los parches en función de su prioridad. También, destaca que es necesario que las empresas pongan su foco más allá del NVD y estén atentas a las tendencias de las vulnerabilidades, los casos de explotación, los avisos de los proveedores y las alertas de las agencias de seguridad, mientras priorizan las vulnerabilidades a parchear.
- Los grupos de ransomware se dirigen cada vez más a las redes de la cadena de suministro para infligir grandes daños y causar un caos generalizado. Un solo virus en la cadena de suministro puede suponer la puerta de acceso para que los ciberdelincuentes secuestren distribuciones completas de sistemas en cientos de redes de víctimas. El año pasado, los hackers atacaron las redes de la cadena de suministro a través de aplicaciones de terceros, productos específicos de proveedores y bibliotecas de código abierto. Por ejemplo, el grupo REvil fue tras el CVE-2021-30116 en el servicio de gestión remota de Kaseya VSA, lanzando un paquete de actualización malicioso que comprometía a todos los clientes que utilizaban versiones locales y remotas de la plataforma VSA.
- Los grupos de ransomware comparten cada vez más sus servicios, al igual que las ofertas legítimas de SaaS.El “ransomware como servicio” es un modelo de negocio en el que los desarrolladores de este tipo de malware ofrecen sus servicios, versiones, kits o código a otros actores maliciosos, a cambio de una remuneración. Las soluciones de explotación como servicio permiten a los actores de las amenazas alquilar explotaciones de “día cero” a los desarrolladores. Además, el Dropper-as-a-Service (DaaS) permite a los ciberdelicuentes inexpertos distribuir malware a través de programas que, cuando se ejecutan, pueden poner en marcha una carga útil maliciosa en el ordenador de la víctima. Y el Trojan-as-a-Service («troyano como servicio»), también llamado “malware como servicio”, permite a cualquier persona con una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación.
Con 157 familias de ransomware que explotan 288 vulnerabilidades, los grupos de ransomware están dispuestos a realizar ataques masivos en los próximos años. Además, según Coveware, las empresas pagan en la actualidad una media de 220.298 dólares y se someten a 23 días de inactividad tras un ataque de ransomware. Esto exige que se haga un mayor énfasis en la ciberhigiene. De cara al futuro, la automatización de la ciberhigiene será cada vez más importante, especialmente a medida que los entornos continúen aumentando su complejidad.
Srinivas Mukkamala, vicepresidente senior de Productos de Seguridad de Ivanti, señaló que: «los grupos de ransomware son cada vez más sofisticados y sus ataques más impactantes. Estos ciberdelincuentes aprovechan cada vez más los kits de herramientas automatizadas para explotar las vulnerabilidades y penetrar más profundamente en las redes afectadas. También, amplían sus objetivos y aumentan sus ataques contra sectores críticos, desestabilizando la actividad cotidiana y causando daños sin precedentes. Las empresas deben extremar la vigilancia y parchear sin demora las vulnerabilidades que se han convertido en auténticas armas. Esto exige priorizar las vulnerabilidades basadas en el riesgo y la aplicación de una estrategia de parches automatizada, para identificar y anteponer los puntos débiles de las vulnerabilidades, para posteriormente acelerar su corrección.»
Anuj Goel, director general de Cyware, declare que: «El cambio sustancial que hemos observado en el panorama del ransomware, es que los atacantes buscan penetrar en procesos como el despliegue de parches, a la vez que buscan los fallos en las brechas de protección para penetrar en los sistemas. El descubrimiento de una vulnerabilidad debe ser afrontado con una acción que gestione con inteligencia los datos de dicha vulnerabilidad y que permita tomar decisions rápidas para subsanarlo. A medida que las bandas de ransomware hacen operativas sus herramientas, métodos y objetivos, es esencial que los equipos de SecOps automaticen los procesos para autoreparar los activos y sistemas vulnerables, con el fin de mitigar el riesgo mediante la puesta en marcha de la inteligencia en tiempo real.»
Aaron Sandeen, director General de Cyber Security Works, lamentaba: «¡El ransomware es devastador para los clientes y empleados de todos los sectores! En el año 2022, seguiremos viendo un aumento de nuevas vulnerabilidades, tipos de exploits, grupos de APT, familias de ransomware, categorías de CWE y formas en la que se aprovechan las antiguas vulnerabilidades para explotar a las empresas. Los directivos necesitan proveerse de ayuda innovadora y predictiva para priorizar y remediar las amenazas de ransomware.»
El informe Ransomware Index Spotlight se basa en datos recogidos de diversas fuentes, incluyendo datos propios de Ivanti y CSW, bases de datos de amenazas disponibles públicamente, e investigadores de amenazas y equipos de pruebas de penetración. Haz click aquí para leer el informe completo.