Febrero de 2025 puede considerarse como el peor mes para los ataques de ransomware (o el mejor mes para estas bandas, claro está).
Durante el intervalo se contabilizaron 962 víctimas, lo que supone un crecimiento del 126% interanual. En febrero de 2023 la cifra registrada fue de 425, según los datos aportados por la firma de ciberseguridad Bitdefender.
En el segundo mes del año la pandilla Clop fue la más activa, responsabilizándose de 335 de todos los ataques. Su actividad aumentó un 300% en relación al mismo período del año anterior.
Este incremento estaría vinculado a la explotación del grupo de dos graves vulnerabilidades, CVE-2024-50623 y CVE-2024-55956 en el software de transferencia Cleo, el cual fue puntuado con una calificación de 9,8 sobre 10.
Por otro lado, el informe también pone de manifiesto que se ha producido un cambio significativo en las tácticas de ransomware, ya que se ha descubierto que los actores de amenazas se dirigen cada vez más a los dispositivos de red periférica y a las vulnerabilidades de software en lugar de a industrias u organizaciones específicas.
Cómo se cuelan los cibermalos
Además, los atacantes de ransomware ahora también usan un proceso de dos etapas que les permite maximizar su impacto mientras evaden la detección temprana.
Primero los piratas informáticos escanean Internet en busca de sistemas expuestos dentro de las 24 horas posteriores a la divulgación pública de una vulnerabilidad. A continuación, usan herramientas automatizadas para identificar y comprometer los dispositivos sin parches, logrando acceso inicial antes de que los equipos puedan responder
Posteriormente, los atacantes pasan a una fase de intrusión manual e implementación de ransomware, que a menudo puede llevar semanas e incluso meses. En este tiempo analizan cuidadosamente las redes comprometidas, escalan privilegios y usan técnicas para mezclarse con la actividad normal del sistema.
Con todo esto pueden permanecer sin ser detectados hasta que se lance el ataque de ransomware a gran escala.