El ransomware seguirá prosperando gracias a su capacidad de innovación

Recomendados:  Empresas data driven: estrategias de datos para marcar la diferencia Evento  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

El ransomware no solo sigue evolucionando, sino que está atrayendo a otras ciberamenazas para formar un sistema de entrega de ransomware masivo e interconectado, con importantes implicaciones para la ciberseguridad. Así lo indica el Informe de Ciberamenazas 2022 de Sophos, que anticipa las ciberamenazas y las tendencias de seguridad a las que se enfrentarán las empresas en 2022.

El informe augura que el panorama del ransomware se volverá más modular y más uniforme. Los "especialistas" en ataques de ransomware ofertarán diferentes elementos de un ataque en modalidad as-a-service (RaaS) y proporcionarán guías de estrategias (playbooks) con herramientas y técnicas que permiten a diferentes grupos de atacantes llevar a cabo ataques muy similares. Una vez que los atacantes tienen el malware que necesitan, los afiliados a RaaS y otros operadores de ransomware pueden recurrir a Initial Access Brokers o agentes de acceso inicial que se dedican a detectar vulnerabilidades y venderlas a grupos de malware, y a las plataformas y aplicaciones de entrega de malware para encontrar y dirigirse a víctimas potenciales.

Lo anterior alimenta la segunda gran tendencia identificada por Sophos, que es que las ciberamenazas establecidas seguirán adaptándose para distribuir y lanzar ataques de ransomware. Entre estas ciberamenazas se encuentran los loaders, droppers y otros programas maliciosos básicos; los Initial Access Brokers, cada vez más avanzados y operados por humanos; el spam y el adware. Por otra parte, se espera que el uso de múltiples formas de extorsión por parte de los atacantes de ransomware con las que presionar a las víctimas para que paguen el rescate continúe y aumente su alcance e intensidad, y que las criptomonedas seguirán alimentando ciberdelitos como el ransomware y la criptominería maliciosa.

"El ransomware prospera gracias a su capacidad de adaptación e innovación", explica Chester Wisniewski, investigador principal de Sophos. "Por ejemplo, a pesar de que las ofertas de RaaS no son nuevas, antes su objetivo principal era poner el ransomware al alcance de los atacantes menos cualificados o con menos fondos. Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear código sofisticado y determinar la mejor manera para obtener los mayores pagos de rescates por parte de las víctimas, las compañías de seguros y los negociadores. Ahora descargan en otros las tareas de encontrar víctimas, instalar y ejecutar el malware, así como blanquear las criptomonedas robadas. Esto está distorsionando el panorama de las ciberamenazas, y las amenazas comunes, como los loaders, droppers e Initial Access Brokers, que ya existían y causaban problemas mucho antes de la aparición del ransomware, están siendo absorbidas por el "agujero negro" que parece consumirlo todo: el ransomware”.

Sophos también pronostica que los ciberdelincuentes aumentará su abuso de las herramientas de simulación de adversarios, como Cobalt Strike Beacons, mimikatz y PowerSploit; que habrá continuos intentos de abuso masivo de las herramientas de administración de TI y de los servicios orientados a Internet, tanto por atacantes sofisticados como por ciberdelincuentes corrientes; que aumentará el interés en los sistemas basados en Linux, tanto en la nube como en los servidores web y virtuales; y que las amenazas a dispositivos móviles y las estafas de ingeniería social, como Flubot y Joker, continuarán y se diversificarán para dirigirse tanto a usuarios como a empresas.

Por otro lado, los atacantes también harán un uso cada vez mayor de la IA, y que se verá un progreso desde las campañas de desinformación habilitadas por la IA y los perfiles falsos en las redes sociales, hasta el desarrollo de contenido web para llevar a cabo ataques “watering-hole” (en los que los atacantes infectan con malware sitios web muy utilizados por los miembros de una compañía), o el desarrollo de correos electrónicos mediante IA para campañas de phishing entre otros, a medida que las tecnologías avanzadas de síntesis de vídeo y voz deepfake estén disponibles.