Los ataques de ransomware entrañarán más riesgo para la ciberseguridad en 2022

  • Seguridad

cibercrimen

En su informe de predicciones sobre ciberseguridad en 2022, Sophos pronostica que el ransomware, lejos de dar una tregua, evolucionará, volviéndose más modular y uniforme. Las ofertas de este malware como servicio van a seguir también en aumento, y lo peor es que, según la firma, la fuerza con la que prolifera, está atrayendo a otras ciberamenazas para formar un sistema de entrega de ransomware masivo e interconectado.

Recomendados: 

Empresas data driven: estrategias de datos para marcar la diferencia Evento 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

El informe de predicciones en ciberseguridad de esta firma identifica las tendencias de los servicios de ransomware, el malware básico, las herramientas de ataque, los criptomineros y otros aspectos que afectan a la ciberseguridad de las empresas.

Uno de los de mayor impacto es, según sus expertos, es que la fuerza con la que ha proliferado y evolucionado el ransomware está atrayendo a otras ciberamenazas para formar un sistema de entrega de ransomware masivo e interconectado, con importantes implicaciones para la ciberseguridad.

Este es el primero de sus pronósticos. Durante el próximo año, el panorama del ransomware se volverá más modular y más uniforme. Los especialistas en este tipo de ataques ofertarán diferentes elementos de un ataque en modalidad "as-a-service" y proporcionarán guías de estrategias (playbooks) con herramientas y técnicas que permiten a diferentes grupos de atacantes llevar a cabo ataques muy similares. 

Según los investigadores de Sophos, los ataques de grupos individuales de ransomware dieron paso a más ofertas de ransomware as-a-service (RaaS) durante 2021, en los que los desarrolladores especializados en ransomware se enfocaron en contratar código malicioso e infraestructura a terceras partes asociadas. Algunos de los ataques de ransomware más destacados del año pasado involucraron RaaS, como el ataque contra Colonial Pipeline en Estados Unidos llevado a cabo por un afiliado de DarkSide. Posteriormente, terceras partes afiliadas al ransomware Conti filtraron la guía de implementación proporcionada por los operadores, revelando las herramientas y técnicas paso a paso que los atacantes podían utilizar para desplegar el ransomware.

Una vez que los atacantes tienen el malware que necesitan, los afiliados a RaaS y otros operadores de ransomware pueden recurrir a Initial Access Brokers (o agentes de acceso inicial que se dedican a detectar vulnerabilidades y venderlas a grupos de malware) y a las plataformas y aplicaciones de entrega de malware para encontrar y dirigirse a las potenciales víctimas. Esto alimenta la segunda gran tendencia identificada por Sophos.

La segunda de las predicciones es que las ciberamenazas establecidas seguirán adaptándose para distribuir y lanzar ataques de ransomware. Entre estas ciberamenazas se encuentran los loaders, droppers y otros programas maliciosos básicos; los Initial Access Brokers, o agentes de acceso inicial, cada vez más avanzados y operados por humanos; el spam y el adware. En 2021, Sophos informó sobre la amenaza Gootloader, que operaba novedosos ataques híbridos en los que se combinaban campañas masivas con un filtrado minucioso para localizar objetivos contra los que lanzar ataques de malware específicos.

Además, se espera que el uso de múltiples formas de extorsión por parte de los atacantes de ransomware con las que presionar a las víctimas para que paguen el rescate continúe y aumente su alcance e intensidad. En 2021, los responsables del servicio Rapid Response de Sophos catalogaron 10 tipos diferentes de tácticas de presión, entre las que destacaba el robo y la exposición de datos, las llamadas telefónicas amenazantes, los ataques de denegación de servicio distribuidos (DDoS), etc.

Por otro lado, las criptomonedas seguirán alimentando ciberdelitos como el ransomware y la criptominería maliciosa, y Sophos prevé que esta tendencia continúe hasta que las criptomonedas estén mejor reguladas a nivel mundial. Durante 2021, los investigadores de Sophos descubrieron criptomineros como Lemon Duck y el menos común, MrbMiner, que aprovechan el acceso de vulnerabilidades recientes y los objetivos atacados por los operadores de ransomware para instalar criptomineros en ordenadores y servidores.

Tendencias más allá del ransomware
Después de que las vulnerabilidades ProxyLogon y ProxyShell fueran descubiertas (y parcheadas) en 2021, la velocidad a la que fueron aprovechadas por los atacantes fue tal que los expertos de Sophos esperan ver, de ahora en adelante, continuos intentos de abuso masivo de las herramientas de administración de TI y de los servicios orientados a Internet tanto por atacantes sofisticados como por ciberdelincuentes corrientes.

La compañía también pronostica que los ciberdelincuentes aumenten su abuso de las herramientas de simulación de adversarios, como Cobalt Strike Beacons, mimikatz y PowerSploit. Los equipos de seguridad deben comprobar cada alerta relacionada con herramientas legítimas vulneradas o con el uso de una combinación de herramientas legítimas del mismo modo que comprobarían una alerta maliciosa, ya que podría indicar la presencia de un intruso en la red.

Durante 2021, sus investigadores han detallado una serie de nuevas amenazas dirigidas a los sistemas Linux. En esta línea, y durante el 2022, se espera ver un interés en los sistemas basados en Linux, tanto en la nube como en los servidores web y virtuales.

Asimismo, las amenazas a dispositivos móviles y las estafas de ingeniería social, como Flubot y Joker, continuarán y se diversificarán para dirigirse tanto a usuarios como a empresas.

Cierra sus predicciones diciendo que la aplicación de la inteligencia artificial a la ciberseguridad continuará y se acelerará, a medida que los potentes modelos de aprendizaje automático demuestren su eficacia en la detección de amenazas y la priorización de alertas. Por otro lado, los atacantes también harán un uso cada vez mayor de la IA. En los próximos años se verá un progreso desde las campañas de desinformación habilitadas por la IA y los perfiles falsos en las redes sociales, hasta el desarrollo de contenido web para llevar a cabo ataques "watering-hole" (en los que los atacantes infectan con malware sitios web muy utilizados por los miembros de una compañía), o el desarrollo de correos electrónicos mediante IA para campañas de phishing entre otros, a medida que las tecnologías avanzadas de síntesis de vídeo y voz deepfake estén disponibles.