Así evolucionaron los ataques de ransomware y phishing en 2019

  • Seguridad

Los ataques de ransomware aumentaron en todo el mundo durante el año pasado, con más de 100 organizaciones gubernamentales del gobierno estadounidense afectadas, pero también numerosas empresas de los sectores de Retail, Industria y Transportes. El phishing, por su parte, ha evolucionado sus tácticas, utilizando como cebo a marcas de confianza.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

El informe el informe IBM X-Force Threat Intelligence 2020, del que ya ofrecimos algunas conclusiones hace unos días, analiza los ataques de ransomware en todo el mundo, dirigidos tanto al sector público como al privado.

En 2019 se produjo un importante aumento de la actividad de ransomware: De hecho, IBM X-Force desplegó su equipo de respuesta a incidentes de ransomware en trece sectores diferentes en todo el mundo, lo que demuestra la potencia de este tipo de ataques, independientemente de la industria objetivo.

Según sus datos, cerca de 100 entidades del gobierno de Estados Unidos se vieron afectadas por ataques de ransomware y se detectaron ataques significativos contra el comercio minorista, el sector industrial y el sector del transporte. Todos estos sectores cuentan con un gran volumen de datos que pueden ser utilizados para obtener un rendimiento económico, y suelen apoyarse en tecnología no tan actualizada, lo que hace que sean más vulnerables a los ataques. De hecho, en el 80% de los intentos de ataque con ransomware observados, los cibercriminales estaban explotando las vulnerabilidades de Windows Server, la misma táctica utilizada para propagar WannaCry, el ataque que afectó a empresas de 150 países en 2017.

Los ataques de ransomware costaron a las organizaciones más de 7.500 millones de dólares en 2019 por lo que, viendo esta cifra, todo parece apuntar a que este tipo de ataques no van a reducirse durante 2020.

El informe de IBM, en colaboración con Intezer, señala que se ha observado nuevo código de malware en el 45% del código de los troyanos bancarios, y en el 36% del código de ransomware. Esto sugiere que, al crear nuevos códigos, los atacantes continúan centrando sus esfuerzos en evitar su detección. Al mismo tiempo, IBM X-Force también ha observado una fuerte relación entre el ransomware y los troyanos bancarios. Estos últimos están siendo utilizados para abrir la puerta a ataques de ransomware selectivos y de alto riesgo, diversificando la forma en que se despliega el ransomware. Así, por ejemplo, se sospecha que TrickBot, el malware financiero más activo según los datos del informe, despliega Ryuk en las redes de las empresas, mientras que otros troyanos bancarios, como por ejemplo QakBot, GootKit y Dridex, también se están diversificando hacia variantes de ransomware.

Phishing: ataques más específicos y dirigidos
A medida que los consumidores son más conscientes de los correos electrónicos de phishing, las tácticas que utilizan los ciberdelincuentes en este tipo de ataques se están volviendo más y más específicas y dirigidas.

En colaboración con Quad9, IBM ha observado que los atacantes están tendiendo cada vez más a hacerse pasar por las principales marcas de confianza de los consumidores, utilizando enlaces tentadores y suplantando a empresas de tecnología, redes sociales y plataformas de streaming. El objetivo es engañar a los usuarios para que hagan clic en enlaces maliciosos como parte de una campaña de phishing.

Cerca del 60% de las 10 principales marcas suplantadas eran dominios de Google y YouTube, mientras que dominios de Apple (15%) y Amazon (12%) también fueron víctimas de intentos de ataque por parte de ciberdelincuentes que buscaban robar datos de los usuarios que pudieran rentabilizar. IBM X-Force indica que estas marcas fueron atacadas principalmente por la cantidad de datos monetizables que poseen.

Facebook, Instagram y Netflix también están en la lista de las diez principales marcas suplantadas, pero con una tasa de uso significativamente menor. Esto puede deberse al hecho de que estos servicios no suelen tener datos directamente monetizables. En estos casos, los atacantes suelen apostar por la reutilización de credenciales para acceder a cuentas con pagos más lucrativos.

En este punto, IBM X-Force sugiere que la reutilización frecuente de las contraseñas es lo que potencialmente convierte a estas marcas en objetivos de los ciberdelincuentes.