Los datos de detección de amenazas de Barracuda muestran que algo menos de la mitad (44%) de los ataques de desarrollo de ransomware se detectaron durante el movimiento lateral
SaludDirigentes Digital
| 04 sep 2024
Barracuda Networks ha publicado un nuevo estudio que muestra que el movimiento lateral es el signo más claro de un ataque de ransomware en desarrollo, detectando algo menos de la mitad (44%) de los incidentes. Una cuarta parte (25%) de los incidentes se detectaron cuando los atacantes empezaron a escribir o editar archivos, y el 14% fueron desenmascarados por un comportamiento que no encajaba con los patrones de actividad conocidos. Los resultados se incluyen en el informe anual de Barracuda Threat Spotlight de ransomware, que explora los principales patrones de ataque de ransomware en los últimos 12 meses.
Los investigadores de Barracuda analizaron una muestra de 200 incidentes reportados que cubren de agosto de 2023 a julio de 2024, involucrando a 37 países y 36 grupos diferentes de ransomware.
Este estudio concluye que el 21% de los incidentes afectaron a organizaciones sanitarias, frente al 18% de hace un año. Mientras que el 15% de los ataques reportados fueron contra la industria manufacturera y el 13% se dirigió a empresas tecnológicas. Los incidentes contra el sector educativo se redujeron a la mitad, del 18% del año pasado, para representar el 9% en 2023/24.
Los grupos de ransomware más prevalentes fueron los modelos de ransomware como servicio (RaaS). Entre ellos se encuentra LockBit, que en los últimos 12 meses estuvo detrás de uno de cada seis ataques, es decir, el 18% de los ataques en los que se conoce la identidad del atacante. El ransomware ALPHV/BlackCat fue responsable del 14% de ataques, mientras que Rhysida, un grupo de ransomware relativamente nuevo, fue responsable del 8% de los ataques con nombre.
“Los ataques de ransomware de alquiler pueden ser difíciles de detectar y contener. Diferentes clientes cibercriminales pueden utilizar diferentes herramientas y tácticas para desplegar la misma carga útil, lo que resulta en una variación considerable”, explica Adam Khan, VP, Global Security Operations de Barracuda Networks. “Afortunadamente, hay enfoques probados y comprobados en los que confían la mayoría de los atacantes, como el escaneo de movimiento lateral y la descarga de malware. Estos pueden activar alertas de seguridad que proporcionan a los equipos de seguridad varias oportunidades para detectar, contener y mitigar incidentes de ransomware antes de que tengan la oportunidad de desarrollarse completamente. Esto es especialmente importante en entorno informáticos en los que no todos los equipos están completamente protegidos”.
Según los datos de detección de Barracuda Managed XDR’s Endpoint Security, en los primeros seis meses de 2024 los principales indicadores de actividad probable de ransomware incluyen:
La investigación detallada de un ataque de ransomware PLAY mitigado dirigido a una empresa de tecnología sanitaria y de un incidente 8base que afectó a una empresa de cuidado del automóvil descubrió que los atacantes intentan establecer puntos de apoyo en dispositivos desprotegidos para lanzar la siguiente fase de su ataque y ocultar archivos maliciosos en carpetas de música y vídeo poco utilizadas.
Las últimas capas de detección son esenciales en la batalla contra amenazas activas como el ransomware, donde los atacantes suelen aprovechar herramientas disponibles en el mercado utilizadas legítimamente por los equipos de TI y pueden realizar ajustes en tiempo real en su comportamiento y tácticas para tener éxito.
Barracuda recomienda defensas multicapa impulsadas por IA, que son clave para detectar y remediar ataques avanzados para contener y minimizar el impacto. Esto debe complementarse con sólidas políticas de autenticación y acceso, parches y formación periódica de concienciación sobre seguridad para los empleados.
Para leer el blog: https://blog.barracuda.com/2024/08/21/threat-spotlight-ransomware-rent-threat-landscape
