El ransomware seguirá prosperando gracias a su capacidad de innovación
- Seguridad
Amenazas comunes, como los loaders, droppers e Initial Access Brokers, seguirán adaptándose para distribuir y lanzar ataques de ransomware, aumentando la modalidad as a service. Se espera que el uso de múltiples formas de extorsión por parte de los atacantes de ransomware continúe y aumente su alcance e intensidad.
Recomendados: Empresas data driven: estrategias de datos para marcar la diferencia Evento Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento |
El ransomware no solo sigue evolucionando, sino que está atrayendo a otras ciberamenazas para formar un sistema de entrega de ransomware masivo e interconectado, con importantes implicaciones para la ciberseguridad. Así lo indica el Informe de Ciberamenazas 2022 de Sophos, que anticipa las ciberamenazas y las tendencias de seguridad a las que se enfrentarán las empresas en 2022.
El informe augura que el panorama del ransomware se volverá más modular y más uniforme. Los "especialistas" en ataques de ransomware ofertarán diferentes elementos de un ataque en modalidad as-a-service (RaaS) y proporcionarán guías de estrategias (playbooks) con herramientas y técnicas que permiten a diferentes grupos de atacantes llevar a cabo ataques muy similares. Una vez que los atacantes tienen el malware que necesitan, los afiliados a RaaS y otros operadores de ransomware pueden recurrir a Initial Access Brokers o agentes de acceso inicial que se dedican a detectar vulnerabilidades y venderlas a grupos de malware, y a las plataformas y aplicaciones de entrega de malware para encontrar y dirigirse a víctimas potenciales.
Lo anterior alimenta la segunda gran tendencia identificada por Sophos, que es que las ciberamenazas establecidas seguirán adaptándose para distribuir y lanzar ataques de ransomware. Entre estas ciberamenazas se encuentran los loaders, droppers y otros programas maliciosos básicos; los Initial Access Brokers, cada vez más avanzados y operados por humanos; el spam y el adware. Por otra parte, se espera que el uso de múltiples formas de extorsión por parte de los atacantes de ransomware con las que presionar a las víctimas para que paguen el rescate continúe y aumente su alcance e intensidad, y que las criptomonedas seguirán alimentando ciberdelitos como el ransomware y la criptominería maliciosa.
"El ransomware prospera gracias a su capacidad de adaptación e innovación", explica Chester Wisniewski, investigador principal de Sophos. "Por ejemplo, a pesar de que las ofertas de RaaS no son nuevas, antes su objetivo principal era poner el ransomware al alcance de los atacantes menos cualificados o con menos fondos. Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear código sofisticado y determinar la mejor manera para obtener los mayores pagos de rescates por parte de las víctimas, las compañías de seguros y los negociadores. Ahora descargan en otros las tareas de encontrar víctimas, instalar y ejecutar el malware, así como blanquear las criptomonedas robadas. Esto está distorsionando el panorama de las ciberamenazas, y las amenazas comunes, como los loaders, droppers e Initial Access Brokers, que ya existían y causaban problemas mucho antes de la aparición del ransomware, están siendo absorbidas por el "agujero negro" que parece consumirlo todo: el ransomware”.
Sophos también pronostica que los ciberdelincuentes aumentará su abuso de las herramientas de simulación de adversarios, como Cobalt Strike Beacons, mimikatz y PowerSploit; que habrá continuos intentos de abuso masivo de las herramientas de administración de TI y de los servicios orientados a Internet, tanto por atacantes sofisticados como por ciberdelincuentes corrientes; que aumentará el interés en los sistemas basados en Linux, tanto en la nube como en los servidores web y virtuales; y que las amenazas a dispositivos móviles y las estafas de ingeniería social, como Flubot y Joker, continuarán y se diversificarán para dirigirse tanto a usuarios como a empresas.
Por otro lado, los atacantes también harán un uso cada vez mayor de la IA, y que se verá un progreso desde las campañas de desinformación habilitadas por la IA y los perfiles falsos en las redes sociales, hasta el desarrollo de contenido web para llevar a cabo ataques “watering-hole” (en los que los atacantes infectan con malware sitios web muy utilizados por los miembros de una compañía), o el desarrollo de correos electrónicos mediante IA para campañas de phishing entre otros, a medida que las tecnologías avanzadas de síntesis de vídeo y voz deepfake estén disponibles.