Cuando se produce un ataque de ransomware pueden darse señales muy evidentes que hacen que las organizaciones entren rápidamente en estado de alarma. Pero no siempre es así. En ocasiones estas intrusiones pueden realizarse muy sutilmente y tardar tiempo en 'dar la cara'.
Ahora una investigación, el Threat Spotlight anual de la firma de soluciones de seguridad en la nube Barracuda, ha mostrado que casi el 44% de los incidentes de ransomware son detectados durante el movimiento lateral.
Barracuda también descubrió que el 25% de estas infracciones se identificaron cuando los atacantes escribieron o editaron archivos y el 14% cuando su comportamiento no se alineó con los patrones de actividad.
La investigación exploró los patrones de ataque de ransomware de agosto de 2023 a julio de 2024, analizando una muestra de 200 incidentes reportados. Además, esta abarcó 37 países y 36 grupos de ransomware.
El estudio concluyó que el 21% de los ataques han afectado a los sistemas de salud, lo que supone un aumento del 18% respecto al año anterior. También han subido los incidentes al sector manufacturero (15%) y al sector TIC (13%).
Sorprendentemente, en el ámbito educativo los incidentes cayeron al 9% desde el 18% del año pasado.
Los grupos de ransomware más activos
El ransomware como servicio (RaaS) supuso el modelo de ataque más frecuente. LockBit estuvo detrás del 18% de todos las injerencias en las cuales se conoció la identidad de los atacantes.
En segundo lugar quedó el grupo ALPHV/BlackCat (14%) y en el tercero la pandilla Rhysida (8%).
"Afortunadamente, existen enfoques probados y comprobados en los que confían la mayoría de los atacantes, como el escaneo, el movimiento lateral y la descarga de malware", ha señalado Adam Khan, vicepresidente de Operaciones de Seguridad Global de Barracuda Networks.
"Estos pueden desencadenar alertas de seguridad que brindan a los equipos de seguridad varias oportunidades para detectar, contener y mitigar incidentes de ransomware antes de que tengan la oportunidad de desarrollarse por completo. Esto es particularmente importante en entornos de TI donde no todas las máquinas están completamente protegidas", añaden.