Los chantajes por robo de datos representan la principal ciberamenaza
- Seguridad
Este tipo de extorsiones, en las que los ciberdelincuentes roban la información de la víctima y amenazan con filtrarla o venderla a menos que se paguen sumas de dinero, representan el 30% de los incidentes, seguidas del ransomware, con el 17% del total. La falta de tecnologías de autenticación multifactor jugó un papel clave en más del 40% de los compromisos.
Durante el segundo trimestre del año, Cisco respondió a un creciente número de incidentes de extorsión por robo de datos, constituyendo la principal ciberamenaza, al suponer el 30% del total de interacciones del Centro de Respuesta. En estos ataques, los ciberdelincuentes roban la información de la víctima y amenazan con filtrarla o venderla a menos que se paguen sumas variables de dinero, lo que elimina la necesidad de implementar ransomware o cifrar los datos.
Así se desprende del último informe trimestral de Cisco Talos, que también apunta al ransomware como la segunda amenaza más observada ese trimestre, representando el 17% de las interacciones. Las operaciones de ransomware 8Base y MoneyMessage se observaron por primera vez este trimestre, además de LockBit y Royal.
Continuando con la tendencia del primer trimestre del año, el sector de atención sanitaria fue nuevamente el vertical más atacado, representando el 22% del número total de compromisos de respuesta a incidentes, seguido de cerca por servicios financieros.
Del ransomware a la extorsión de robo de datos
La extorsión por robo de datos no es un fenómeno nuevo, pero la cantidad de incidentes de este trimestre sugiere que los actores de ciberamenazas lo ven cada vez más como un medio viable para recibir un pago final.
Los grupos de extorsión RansomHouse y Karakurt fueron los más activos, generalmente obteniendo acceso a entornos a través de cuentas válidas, phishing o explotación de vulnerabilidades. Y según los informes públicos, algunos grupos de ransomware como BianLian y Clop también están dejando de usar el cifrado y apostando por la extorsión de robo de datos.
La falta de tecnologías de autenticación multifactor (MFA) o su implementación incorrecta en los servicios críticos jugó un papel clave en más del 40% de los compromisos a los que respondió Talos durante el segundo trimestre. Cisco Talos recomienda así deshabilitar el acceso VPN para todas las cuentas que no tengan MFA, así como extender MFA para todas las cuentas de usuario, ya que los atacantes apuntan muchas veces a cuentas de proveedores que generalmente tienen privilegios y acceso ampliados.
Las organizaciones también deberían realizar una auditoría de contraseñas en todas las cuentas de usuario y servicio para garantizar que la complejidad y la solidez estén alineadas con las mejores prácticas de la industria por tipo de cuenta (privilegio, servicio, usuario…) para evitar técnicas como pulverización de contraseñas.
