Positive Technologies publicó el miércoles un informe que indica que los ataques de ransomware han alcanzado «niveles estratosféricos».
Los investigadores del panorama de amenazas a la ciberseguridad del segundo trimestre de 2021 también señalan la evolución de las estrategias de ataque junto con un aumento del malware creado para atacar los sistemas basados en Unix. Existen muchas versiones diferentes de Unix y comparten similitudes. Las variedades más populares son Sun Solaris, GNU/Linux y Mac OS X.
El informe encuentra que los ataques de ransomware ahora representan el 69 por ciento de todos los ataques que involucran malware. Ese es uno de los hallazgos más inquietantes. La investigación también revela que el volumen de ataques a instituciones gubernamentales se disparó en 2021, del 12 % en el primer trimestre al 20 % en el segundo trimestre.
El Expert Security Center de Positive Technologies, que se centra en la inteligencia de amenazas, descubrió durante el trimestre el surgimiento de B-JDUN, un nuevo troyano de acceso remoto o RAT utilizado en ataques a empresas de energía. Los investigadores también encontraron Tomiris, un nuevo malware que viene con funciones para ganar persistencia y puede enviar información cifrada sobre la estación de trabajo a un servidor controlado por un atacante.
La investigación encontró solo un aumento menor del 0,3 por ciento en los ataques generales con respecto al trimestre anterior. Se esperaba esta desaceleración ya que las empresas tomaron mayores medidas para proteger el perímetro de la red y los sistemas de acceso remoto durante la pandemia mundial y el crecimiento de una fuerza laboral dispersa.
Sin embargo, el aumento de los ataques de ransomware en particular, un aumento del 45 por ciento solo en el mes de abril, debería causar una gran preocupación, advirtieron los investigadores. Los investigadores también notaron un patrón creciente de malware diseñado específicamente para penetrar en los sistemas Unix.
“Nos hemos acostumbrado a la idea de que los atacantes que distribuyen malware representan un peligro para los sistemas basados en Windows”, dijo Yana Yurakova, analista de seguridad de la información de Positive Technologies. “Ahora vemos una tendencia más fuerte de malware para ataques en sistemas Unix, herramientas de virtualización y orquestadores. Cada vez más empresas, incluidas corporaciones más grandes, ahora usan software basado en Unix, y es por eso que los atacantes están dirigiendo su atención a estos sistemas”.
Tabla de Contenidos
Tácticas contra los minoristas
El panorama de amenazas de ciberseguridad para la industria minorista ha cambiado. Los investigadores observaron una disminución en la cantidad de ataques de MageCart en los que los datos de las transacciones se secuestran durante el pago en una tienda en línea. Sin embargo, eso se contrarrestó con un aumento en la proporción de ataques de ransomware.
El informe revela que el 69 por ciento de todos los ataques de malware dirigidos a organizaciones involucraron a distribuidores de ransomware. Esto marca un salto del 30 por ciento con respecto al mismo trimestre en 2020.
Los ataques de ransomware a minoristas representaron el 95 % de todos los ataques que utilizan malware. Es probable que esto se deba a que los ataques anteriores en esta industria se dirigieron principalmente a datos, como detalles de pago, información personal y credenciales de usuario.
Ahora, los atacantes buscan ganancias financieras más directamente a través de demandas de rescate. El volumen de ataques de ingeniería social dirigidos al comercio minorista este año también aumentó, del 36 % en el primer trimestre al 53 % en el segundo trimestre.
Otros hallazgos
Positive Technologies identificó una prohibición por parte de los foros de la Dark Web sobre la publicación de publicaciones relacionadas con los programas asociados de los operadores de ransomware. Esto indica que pronto estos ‘socios’ ya no tendrán un papel distinto, dijeron los investigadores. En cambio, los propios operadores de ransomware podrían hacerse cargo de la tarea de reunir y supervisar equipos de distribuidores.
Siete de cada 10 ataques de malware en el segundo trimestre de este año involucraron a distribuidores de ransomware, con un aumento de 30 puntos porcentuales en comparación con la participación del segundo trimestre de 2020 de solo el 39 por ciento. Los objetivos más comunes fueron empresas gubernamentales, médicas, industriales e instituciones científicas y educativas.
El correo electrónico sigue siendo el principal método que utilizan los atacantes para propagar malware en los ataques a las organizaciones (58 %). El porcentaje de uso de sitios web para distribuir malware en las organizaciones aumentó del dos al ocho por ciento, según los investigadores de Positive Technologies.
Por ejemplo, este método fue utilizado por distribuidores de software espía dirigidos a programadores que trabajan con Node.js. El malware imitó el componente Browserify en el registro npm.
Ataques de malware a personas
Los atacantes utilizaron malware en el 60 por ciento de los ataques a personas. Con mayor frecuencia, los atacantes distribuyeron troyanos bancarios (30 por ciento de los ataques que involucraron otro malware), RAT (29 por ciento) y spyware (27 por ciento). Los ataques de ransomware representan solo el nueve por ciento de los ataques que involucran otro malware, según el informe.
Por ejemplo, una herramienta de ataque popular contra individuos es la distribución de NitroRansomware. Los atacantes difunden este malware bajo la apariencia de una herramienta para generar códigos de regalo gratuitos para Nitro, un complemento de Discord.
Después de iniciarse, el malware recopila datos del navegador y luego cifra los archivos en el sistema de la víctima. Para obtener un descifrador, la víctima debe comprar un código de regalo para activar Nitro y dárselo a los delincuentes.
Los investigadores también notaron una gran cantidad de ataques a las unidades de red de QNAP. El almacenamiento conectado a la red (NAS) de QNAP que se ejecuta en Linux son sistemas que constan de uno o más discos duros que están constantemente conectados a Internet. El QNAP se convierte en un «concentrador» de respaldo o unidad de almacenamiento para archivos y medios importantes, como fotos, videos y música.
Los sistemas virtuales también se ven afectados
Positive Technologies advirtió a principios de este año que muchos atacantes tenían como objetivo la infraestructura virtual. En el segundo trimestre, la compañía informó que los operadores de ransomware se unieron a tales ataques.
REvil, RansomExx (Defray), Mespinoza, GoGoogle, DarkSide, Hellokitty y Babuk Locker están listos para ser utilizados en ataques a la infraestructura virtual basada en VMware ESXi, dijeron los investigadores.
Ese podría ser un problema creciente para los usuarios de Linux en entornos empresariales, señaló el informe. Trend Micro analizó el nuevo ransomware DarkRadiation en desarrollo y descubrió que estaba diseñado para ataques en Red Hat, CentOS y Debian Linux.
El malware en sí es un script bash que puede detener o deshabilitar todos los contenedores Docker en ejecución. Los atacantes usan cuentas comprometidas y el protocolo SSH como una forma de distribuir este ransomware.
Según Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies, ahora parte de Netwrix, la motivación para atacar los sistemas de virtualización no es centrarse en Linux per se.
Es el aspecto de que los servidores ESXi son un objetivo tan valioso y que los desarrolladores de malware hicieron un esfuerzo adicional para agregar Linux como el origen de muchas plataformas de virtualización a su funcionalidad, agregó.
VMware ESXi es un hipervisor básico que se instala fácilmente en los servidores y lo divide en varias máquinas virtuales.
“Esto da la bienvenida al efecto secundario de poder atacar cualquier máquina Linux. Un solo servidor EXSi 7 puede albergar hasta 1024 máquinas virtuales en teoría. Pero para el atacante, es la combinación de varias máquinas virtuales y su importancia lo que hace que cada servidor ESXi sea un objetivo digno. Atacar y cifrar un dispositivo que ejecuta alrededor de 30 servicios críticos para una organización promete generar resultados de pago de rescate”, dijo a TechNewsWorld.
Defiéndete
Vulcan Cyber el 29 de julio publicó su investigación sobre las iniciativas de remediación de riesgos cibernéticos entre las empresas. Vulcan encuestó a 200 líderes de seguridad cibernética sobre sus regímenes de higiene cibernética.
Los resultados revelaron que el siete por ciento de las empresas se vieron afectadas por una vulnerabilidad de seguridad de TI durante el último año. En particular, solo el 33 por ciento de los encuestados dijo que su empresa consideraba que la gestión de vulnerabilidades basada en riesgos era «muy importante».
Existe una brecha clara y cada vez mayor entre los programas de gestión de vulnerabilidades empresariales y la capacidad de los equipos de seguridad de TI para mitigar realmente el riesgo que enfrentan sus organizaciones, según Yaniv Bar-Dayan, director ejecutivo y cofundador de Vulcan Cyber.
“A medida que las vulnerabilidades de seguridad proliferan en las superficies digitales, es cada vez más crítico que todas las partes interesadas en la seguridad de TI de la empresa realicen cambios significativos en sus esfuerzos de higiene cibernética. Esto debería incluir priorizar los esfuerzos de seguridad cibernética basados en el riesgo, aumentar la colaboración entre los equipos de seguridad y TI, actualizar las herramientas de gestión de vulnerabilidades y mejorar el análisis de riesgos empresariales, particularmente en empresas con programas avanzados de aplicaciones en la nube”, dijo a TechNewsWorld.
