Si algo ha supuesto un auténtico quebradero de cabeza para las empresas y organizaciones a lo largo de 2020 y 2021 a nivel de ciberseguridad eso han sido los ataques de ransomware. Sin embargo, el ransomware también está ejerciendo como una especie de ballena que trae consigo otros 'peces rémora' en cuestión de ciberamenazas.
La compañía de seguridad Sophos habla de este fenómeno en su Informe de Ciberamenazas 2022 y define al ransomware como "un agujero negro" que con su "fuerza gravitacional" atrae a otras técnicas.
El trabajo, elaborado por investigadores de seguridad de SophosLabs, expertos en cazadores de amenazas y Rapid Response de Sophos Managed Threat Response, y el equipo de IA de Sophos, ofrece una perspectiva multidimensional sobre las ciberamenazas y las tendencias de seguridad a las que se enfrentarán las empresas en 2022.
Sophos asegura que durante el próximo año, el panorama del ransomware se volverá más modular y más uniforme. La firma predice que los especialistas en estos ataques ofertarán diferentes elementos de un ataque en modalidad 'as-a-service' y proporcionarán guías de estrategias (playbooks) con herramientas y técnicas para estandarizar las amenazas.
Según la compañía, los ataques de grupos individuales de ransomware dieron paso a más ofertas de ransomware as-a-service (RaaS) durante este 2021, en los que los desarrolladores se enfocaron en contratar código malicioso e infraestructura a terceras partes asociadas.
Algunos de los ataques de ransomware más destacados del año pasado involucraron RaaS, como el ataque contra Colonial Pipeline en Estados Unidos llevado a cabo por un afiliado de DarkSide. Posteriormente, terceras partes afiliadas al ransomware Conti filtraron la guía de implementación proporcionada por los operadores, revelando las herramientas y técnicas paso a paso que los atacantes podían utilizar para desplegar el ransomware.
Sophos también espera que las ciberamenazas establecidas sigan adaptándose para distribuir y lanzar ataques de ransomware. Entre ellas se encuentran los loaders, droppers y otros programas maliciosos básicos; los Initial Access Brokers, o agentes de acceso inicial, cada vez más avanzados y operados por humanos; el spam y el adware.
En 2021 se conoció la amenaza Gootloader, que operaba novedosos ataques híbridos en los que se combinaban campañas masivas con un filtrado minucioso para localizar objetivos contra los que lanzar ataques de malware concretos.
Por otro lado, todo apunta a que se seguirán ampliando las formas de extorsión por parte de los atacantes de ransomware con las que presionar a las víctimas para que paguen el rescate continúe y aumente su alcance e intensidad.
En 2021, los responsables del servicio Rapid Response de Sophos catalogaron 10 tipos diferentes de tácticas de presión, entre las que destacaba el robo y la exposición de datos, las llamadas telefónicas amenazantes, los ataques de denegación de servicio distribuidos (DDoS), etc.
Sophos también cree que las criptomonedas seguirán alimentando ciberdelitos como el ransomware y la criptominería maliciosa y prevé que esta tendencia continúe hasta que las criptomonedas estén mejor reguladas a nivel mundial. Este año los investigadores de Sophos han encontrado criptomineros como Lemon Duck y el menos común, MrbMiner, que aprovechan el acceso de vulnerabilidades recientes y los objetivos atacados por los operadores de ransomware para instalar criptomineros en ordenadores y servidores.
Como el ladrón que rompe un jarrón al entrar por ventana
"El ransomware prospera gracias a su capacidad de adaptación e innovación. Por ejemplo, a pesar de que las ofertas de RaaS no son nuevas, antes su objetivo principal era poner el ransomware al alcance de los atacantes menos cualificados o con menos fondos. Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear código sofisticado y determinar la mejor manera para obtener los mayores pagos de rescates por parte de las víctimas, las compañías de seguros y los negociadores", explica Chester Wisniewski, investigador principal de Sophos.
"Ahora descargan en otros las tareas de encontrar víctimas, instalar y ejecutar el malware, así como blanquear las criptomonedas robadas. Esto está distorsionando el panorama de las ciberamenazas, y las amenazas comunes, como los loaders, droppers e Initial Access Brokers, que ya existían y causaban problemas mucho antes de la aparición del ransomware, están siendo absorbidas por el 'agujero negro' que parece consumirlo todo: el ransomware", añade el experto.
"Para las empresas ya no es suficiente con asumir que están a salvo simplemente supervisando las herramientas de seguridad y asegurándose de que detectan el código malicioso. Ciertas combinaciones de sistemas de detección o incluso avisos son el equivalente moderno a un ladrón que rompe un jarrón de flores mientras entra por la ventana trasera. Los defensores deben investigar todas las alertas, incluso las que podían ser insignificantes en el pasado, ya que estas intrusiones comunes se han convertido en el punto de apoyo necesario para tomar el control de redes enteras",advierte Wisniewski.