Los cibercriminales se reagrupan y vuelven al ataque

El último trimestre de 2021 se caracterizó por un crecimiento del 356% en el número de ataques en los que el vector de ataque fueron las vulnerabilidades CVE/zero en comparación con el tercer trimestre. Esto demuestra que los atacantes son cada vez más hábiles para explotar las vulnerabilidades, en algunos casos aprovechándolas el mismo día en que aparecería la prueba de concepto.

Las fuerzas de seguridad interrumpieron una cantidad significativa de ciberdelitos en el trimestre. REvil sufrió un desmantelamiento, se produjeron detenciones en torno a la explotación de Kaseya, y BlackMatter fue cerrado junto con varios mercados de la “dark web”. En total, 6 grupos de ciberdelincuentes clave se retiraron en el cuarto trimestre de 2021. En consecuencia, hemos visto un pico de nuevos sitios de extorsión y nuevas variantes de ransomware, ya que los ciberdelincuentes se han adaptado y reagrupado tras la acción de las autoridades.

Otros datos de interés son los siguientes:

• A pesar de una reducción de 12 puntos en comparación con el trimestre pasado, el phishing siguió siendo la fuente de infección más popular, responsable del 39% de todos los métodos de acceso inicial sospechosos durante el último trimestre de 2021.
• En el cuarto trimestre se produjo un ligero descenso en el número de ataques de ransomware, pero siguió siendo el tipo de ataque más popular, representando el 40% de todas las amenazas del cuarto trimestre. Conti y LockBit fueron las principales variantes de ransomware observadas. Están surgiendo grupos de ransomware disociados, que en algunos casos venden su acceso inicial a otros grupos.
• El sector de los servicios profesionales fue el más atacado, seguido de la tecnología/telecomunicaciones, la sanidad, la industria, los servicios financieros y la educación.

No es ninguna sorpresa que el phishing y el ransomware hayan tenido un gran protagonismo en el informe trimestral de Kroll sobre el panorama de las amenazas, pero el grado de reagrupación y reataque realizado por los grupos de ciberdelincuentes fue inusual. Si bien las fuerzas de seguridad lograron avances significativos en la desarticulación de los atacantes, el hecho de que hayamos visto nuevas variantes de ransomware y sitios de extorsión, junto con grupos de ransomware escindidos, demuestra la agilidad de las operaciones y la intención maliciosa de estos grupos criminales. Si añadimos esto al mayor número de vulnerabilidades de software que explotan los operadores de ransomware y a la velocidad a la que se ven comprometidos, se subraya la importancia de la acción legislativa contra los atacantes para dejarlos fuera de juego por completo.

Por encima de todo, las organizaciones deben ser capaces de identificar las lagunas en sus medidas de seguridad, ser capaces de detectar rápidamente las amenazas y responder con confianza ante las que lo consigan. Si se tiene en cuenta la velocidad con la que los atacantes explotan las vulnerabilidades y el alcance de los parches que deben aplicar los equipos de seguridad, tardar seis meses en probar un parche hasta que se pueda desplegar es simplemente arriesgado. Verificando aún más estas medidas de seguridad a través de evaluaciones de vulnerabilidad y ejercicios de equipo rojo, se puede probar y asegurar la verdadera resiliencia.

La entrada Los cibercriminales se reagrupan y vuelven al ataque aparece primero en Globb Security.