Ransomware: la navegación web es su principal puerta de entrada

Durante 2022 fue el método favorito de los delincuentes para infectar sistemas. También ha subido el pago promedio por rescate.

Anahí Di Santo.

Periodista.

Guardar

El ransomware representa la mayor preocupación tanto para los responsables de seguridad (CISOS) como para la dirección de las empresas españolas
El ransomware representa la mayor preocupación tanto para los responsables de seguridad (CISOS) como para la dirección de las empresas españolas

Mientras que en 2021 los archivos adjuntos de correo electrónico fueron el vector más común para la entrega de ransomware, el informe elaborado por Palo Alto Networks ha detectado que en el último año el método de entrega cambió claramente a las URL, en el 75.5% de los casos registrados.

Dentro de esta categoría, el principal vector de entrada para las infecciones han sido las aplicaciones de terceros, en el 8,2% de los intentos identificados por la compañía en 2022.

Por su parte, y a diferencia del año anterior, el email y sus archivos adjuntos, es decir, la entrega a través de los protocolos SMTP, POP3 e IMAP, han sido utilizados solamente en el 12% de los casos durante este período.

Con una muestra aleatoria y de gran tamaño, que incluye 7.000 URL de 27.000 únicas, los investigadores de Palo Alto Networks han rastreado y analizado direcciones y nombres de host que alojan ransomware y han identificado algunos de los trucos implementados para ocultar los ataques.

Las bandas delictivas han rotado diferentes URL y nombres de host para alojar el mismo ransomware o han usado la misma URL para entregar diferentes variantes de ransomware, e incluso otros tipos de malware, como limpiadores, ladrones o cargadores, explican los expertos. Otra regularidad detectada es que Racoon Stealer y Smoke Loader son utilizados ocasionalmente como primer paso de un ataque de ransomware.

Se cree que esta rotación de direcciones URL para la entrega de ransomware se utiliza para evadir las listas de bloqueo que los motores de búsqueda recopilan, por considerarlas sospechosas o peligrosas.

Otra estrategia de las bandas de ransomware es utilizar alojamiento público popular, redes sociales y servicios para compartir medios, así como dominios benignos de larga duración que han logrado comprometer. “Es probable que estas URL caigan por las grietas de muchos servicios de bloqueo de URL existentes debido a la buena reputación involucrada con estos servicios”, explicaron desde Palo Alto Networks.

El pago de rescate aumentó considerablemente

Recordemos que el ransomware es un software de extorsión, que puede bloquear ordenadores, redes y sistemas completos si no se paga un rescate para desbloquearlo. Estas sumas de dinero suelen pedirse en criptomoneda para que sea más difícil rastrear hacia dónde se dirige el pago.

Otra reciente investigación de la compañía ha revelado que el pago promedio de rescate ha crecido en un 71% en 2022 y se acerca a la marca record de 900.000 euros. Y estas cifras no contemplan los costos adicionales incurridos por las víctimas, los gastos de solución, el tiempo de inactividad, el daño a la reputación y otros perjuicios.

La situación se vuelve más preocupante al observar los números en perspectiva con años anteriores. El pago de rescate promedio en casos trabajados por los consultores de Palo Alto en 2020 fue de aproximadamente 270.000 euros, mientras que en 2016 fue de menos de 500.

Además, la presión se vuelve mayor con la técnica de la “doble extorsión”, que amenaza a las organizaciones afectadas no sólo con perder el acceso a los archivos sino también con publicar la información robada en la dark web, identificando a las víctimas y compartiendo supuestos fragmentos de datos confidenciales robados de sus redes.