Los ciberdelincuentes no dan puntada sin hilo y tratan de buscar los objetivos de los que más rédito pueden obtener. Por ello, no es raro que la industria financiera se convirtiera a mediados del año pasado en uno de los sectores más amenazados por los ciberdelincuentes.
Esta afirmación es la que hace la firma Trellix tras llevar a cabo un estudio en el tercer trimestre de 2021. A través del mismo pudieron hallar una mayor presencia en dicho período de actores de amenazas persistentes avanzadas (APT) y grupos de ransomware que se centraron en los servicios financieros.
En el intervalo los investigadores encontraron cómo los ciberdelincuentes usaban personas alternativas para continuar usando ransomware contra un espectro cada vez mayor de sectores. Esto les posibilitó atacar a los sectores financiero, de servicios públicos y retail con mayor frecuencia. En conjunto los tres representarían casi el 60% de las detecciones de ransomware.
Las actividades y servicios financieros encabezarían la lista como el sector más buscado por las ciberamenazas de las que se ha informado públicamente, con un aumento del 21% en el tercer trimestre y reportándose en un 40% de los hallazgos de APT. Además, el sector de las finanzas también ha liderado en muestras de ransomware detectadas y actividad del grupo APT en general.
A pesar de que se pensaba que el grupo de ransomware DarkSide había dejado de operar, se ha descubierto que habría tenido un resurgimiento significativo actuando como BlackMatter.
Además, en el tercer cuarto del ejercicio la familia REvil/Sodinokibi volvió a estar omnipresente, representando la mitad de las detecciones de ransomware.
El científico jefe de Trellix, Raj Samani, afirma que la pandemia habría incrementado las oportunidades para que los cibermalos se acerquen a ciertos mercados, con nuevas vulnerabilidades explotadas por nuevas herramientas.
“Si bien terminamos 2021 centrados en una pandemia resurgente y las revelaciones en torno a la vulnerabilidad Log4j, nuestra inmersión profunda en la actividad de amenazas cibernéticas del tercer trimestre encontró nuevas herramientas y tácticas notables entre los grupos de ransomware y los actores de amenazas globales avanzados”, comenta.
Rusia y China, el origen de los cibermalos
¿De dónde vinieron los ataques realizados entre julio y septiembre del año pasado? Trellix ha encontrado que la mayoría de amenazas de esos meses procedieron de grupos de estados nación rusos y chinos, suponiendo en combinación un 46% del total de amenazas de APT.
Pese a que el malware sigue siendo la técnica usada con más frecuencia en los incidentes informados en el Q3, estas amenazas habrían caído un 24% en comparación con el trimestre anterior.
Por su parte, Formbook, Remcos RAT y LokiBot representaron casi el 80 % de las detecciones de malware en el tercer trimestre de 2021, y Formbook se encontró en más de un tercio de los ataques.