Los operadores modernos de ransomware estuvieron bastante activos en el tercer trimestre de 2021, específicamente los distribuidores de la familia de ransomware REvil (también conocida como Sodinokibi). Según el estudio de Trend Micro: Examining Erratic Modern Ransomware Activities, a principios de julio, se informó que los actores maliciosos explotaron las vulnerabilidades de día cero en el software VSA de la plataforma de administración de TI Kaseya para enviar un script malicioso a los clientes vulnerables.
Normalmente dicha plataforma es utilizada para proporcionar actualizaciones a los clientes, por lo que se afirma que VSA fue armado por los actores maliciosos para cargar el ransomware REvil, cuyo propósito es emplear tácticas de doble extorsión para motivar aún más a los objetivos a pagar su rescate.
Asímismo, se ha estado rastreando el grupo de ransomware LockBit, que resurgió con LockBit 2.0 en julio y agosto. Esta versión supuestamente tiene uno de los métodos de cifrado más rápidos y eficientes en la actualidad, por lo que también intenta reclutar a más afiliados prometiendo «millones de dólares» a los miembros de la empresa quienes son blanco fácil para proporcionar credenciales y acceso.
De acuerdo con el reporte desarrollado por Trend Micro, los siguientes datos muestran el panorama de las familias de ransomware, tanto las amenazas heredadas como las más modernas, en el tercer trimestre de 2021, durante el cual se detectaron y bloquearon un total de 3 462 489 amenazas de ransomware en las capas de correo electrónico, archivos y URL.
Las cinco principales detecciones de ransomware por segmento
Las detecciones de REvil alcanzaron su punto máximo en julio y LockBit apareció en agosto y septiembre. Sus objetivos eran grandes empresas, y también pequeñas y medianas empresas (pymes). Las familias de ransomware heredadas WannaCry y Locky también estuvieron activas en todos los segmentos.
WannaCry fue la familia más detectada en el segmento empresarial durante los tres meses, y Locky fue la familia más detectada en el segmento de consumidores. El pico a principios de julio en las detecciones de REvil en organizaciones empresariales, coincidió con los informes sobre el compromiso de Kaseya.
Las tres principales industrias con detecciones de ransomware
Las industrias del Gobierno y de la Salud fueron consistentemente las dos primeras clasificadas en términos de detecciones de ransomware. Las industrias de telecomunicaciones, manufactura y financiera también fueron fuertemente atacadas en este lapso de tres meses.
Hubo un repunte en la actividad de REvil, y se vio que el aumento de la actividad sucedía específicamente en la industria de las telecomunicaciones. Mientras tanto, LockBit se detectó en organizaciones gubernamentales y de salud, y también se vieron detecciones de Clop dentro de la industria de la salud. Clop es una familia de ransomware moderna que cuenta con técnicas de extorsión variadas y progresivamente devastadoras.
Los cinco países principales con detecciones de ransomware
Como se mencionó anteriormente, la actividad del ransomware moderno es más volátil debido a su localización. Esto se ve en el caso de REvil, que alcanzó su punto máximo en julio en los EE. UU., y prácticamente desapareció en septiembre.
La actividad de REvil también disminuyó en otros países, aunque se observaron números bajos de manera constante en Brasil y Japón. Mientras tanto, LockBit apareció en Japón en julio y ganó fuerza. Se observó que alcanzó más objetivos en todo el mundo en septiembre.
Cómo disuadir el ransomware y minimizar su impacto
El ransomware es un peligro persistente para las empresas, fundamentalmente, porque las herramientas y técnicas de los cibercriminales continúan evolucionando. Las organizaciones pueden mitigar los riesgos del ransomware moderno invirtiendo en soluciones de detección y respuesta de capas cruzadas que puedan anticipar y responder a las actividades, técnicas y movimientos de ransomware antes de que los operadores puedan lanzar un ataque.
Para proteger aún más a las empresas, la detección y respuesta de red (NDR) permite a las organizaciones monitorear el tráfico de red y responder a actividades maliciosas y comportamientos sospechosos en la capa de red y más allá.
