El número de usuarios afectados por un ataque de ransomware dirigido se duplicó durante los diez primeros meses del 2022 en comparación con el mismo periodo del año anterior. Así lo han constatado las soluciones de seguridad de Kaspersky, que ha emitido un comunicado para compartir sus hallazgos y alertar del crecimiento de esta ciberamenaza.
Según señala, la cantidad de víctimas de ransomware dirigido representó el 0,026% del total de los incidentes por malware en 2022 frente al 0,016% de 2021. Además, advierte que los ciberdelincuentes dedicados al ransomware están continuamente buscando oportunidades para perpetrar sus ataques y siguen mejorando sus técnicas, a fin de tener el mayor éxito posible y lograr sus objetivos. De hecho, la compañía de ciberseguridad también ha comprobado que están surgiendo nuevas variantes de ransomware, como evidencian las más de 21.400 cepas que ha detectado a lo largo del 2021.
'Lockbit' y 'Play'
Kaspersky, en su último informe de "Crimewire", revela nuevas actividades del popular ransomware 'Lockbit' y del recién llegado 'Play'.
En cuanto al primero, la empresa destaca en su comunicado que sigue reafirmándose como uno de los grupos más innovadores, incorporando nuevas técnicas que dificultan la labor de los especialistas en ciberseguridad. Entre ellas se encuentra el dumping de credenciales, que permite a los atacantes hacerse con el dominio del equipo infectado y crear un canal para restablecer las credenciales del sistema operativo.
Por otra parte, Kaspersky ha descubierto recientemente "Play", una variante de ransomware que se encuentra en las primeras fases de su desarrollo y de la que explica que, solicita a sus víctimas, a través de una nota de rescate, que contacten con los ciberdelincuentes por medio de un correo electrónico. Además, "Play" contiene una funcionalidad encontrada recientemente en otras variantes avanzadas de ransomware: la autopropagación. Los atacantes encuentran un bloque de mensajes de servidor (SMB) y realizan una conexión. Acto seguido, "Play" intenta montar el SMB mencionado anteriormente y distribuir y ejecutar el ransomware en el sistema remoto.
En palabras de Jornt van der Wiel, experto en seguridad de Kaspersky: "Los desarrolladores de ransomware vigilan de cerca lo que hacen sus competidores. Si uno realiza una implementación de una determinada funcionalidad con éxito, existe una gran probabilidad de que otros lo repliquen. Esto hace que el ransomware sea más interesante para quienes lo utilizan. La autopropagación de ransomware es un claro ejemplo de esto. Cada vez más y más grupos de ransomware inventan técnicas que hacen los ataques más dirigidos y destructivos -y este año las estadísticas son una buena prueba de ello".
Cómo evitar ser víctima del ransomware
En su comunicado, Kaspersky también recomienda adoptar las siguientes medidas de ciberseguridad para estar protegido ante los ataques de ransomware:
- No usar servicios de escritorio remoto (como RDP) en redes públicas a menos que sea estrictamente necesario. Utilizar siempre contraseñas fuertes.
- Instalar tan pronto como sea posible los parches disponibles para soluciones VPN comerciales que dan acceso en remoto a los empleados y actúan como puertas de enlace a la red.
- Centrar la estrategia defensiva en detectar movimientos laterales y la filtración de datos en internet. Prestar especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.
- Realizar copias de seguridad con regularidad y disponer de un acceso rápido a las mismas por si ocurre alguna emergencia.
- Utilizar soluciones de seguridad que ayuden a identificar y a detener los ataques en fase temprana, impidiendo que los ciberdelincuentes logren su objetivo.
- Consultar la última información de inteligencia frente a amenazas para estar al tanto de las Tácticas, Técnicas y Procedimientos (TTP) que se utilizan en la actualidad.