El ransomware cambia de técnica. ¿Están los MSP preparados?
A pesar de que el volumen de ataques de ransomware se ha estabilizado, este tipo de amenaza sigue siendo uno de los métodos favoritos tanto de los ciberdelincuentes como de actores patrocinados por estados para obtener beneficios económicos. Si bien las técnicas básicas no han evolucionado demasiado en los últimos tres años, los atacantes han perfeccionado sus estrategias para maximizar sus ganancias con un menor número de víctimas.
Así, lejos de desaparecer, el modelo de ransomware se ha transformado: los grupos que operan bajo el esquema de ransomware como servicio (RaaS) se multiplican, las técnicas de exfiltración de datos sin necesidad de cifrado se están generalizando, y aunque la cantidad de víctimas disminuye, los rescates exigidos son cada vez más elevados. Prueba de ello es que el pago promedio de los rescates pasó de los 400.000 dólares en 2023 a 2 millones en 2024, suponiendo un aumento del 500%. Casos como los ataques protagonizados por el grupo Clop, que explotó vulnerabilidades en la cadena de suministro, como el caso de MOVEit, revelan un panorama cada vez más selectivo, sigiloso y complejo.
El cambio en el enfoque del ransomware
En la actualidad, los atacantes han adoptado nuevas prácticas que redefinen la forma en que seleccionan a sus objetivos y ejecutan sus campañas de ransomware. Para los proveedores de servicios gestionados (MSP), comprender estos cambios es necesario para ajustar sus estrategias de defensa y proteger a sus clientes. Entre los aspectos más relevantes se encuentran:
- Crecimiento del modelo de ransomware como servicio (RaaS): este esquema sigue extendiéndose, al permitir que atacantes sin conocimientos técnicos avanzados puedan acceder a kits y servicios listos para desplegar campañas ransomware, lo que contribuye a la diversificación de los ataques.
- Mayor protagonismo de grupos como Ransomhub y Clop: tras la desaparición de LockBit, estos grupos se han consolidado como los más activos, centrando su objetivo en organizaciones de gran tamaño.
- Ataques a la cadena de suministro: la explotación de vulnerabilidades en soluciones que son ampliamente utilizadas permite a los atacantes comprometer numerosas empresas desde un único punto de entrada. Un ejemplo de ello es el ataque a MOVEit.
- Exfiltración de datos como técnica de extorsión dominante: cada vez más grupos priorizan el robo de información sensible y confidencial, amenazando con su divulgación como método de presión para sus víctimas. Esto ha desplazado el tradicional cifrado de los sistemas a un segundo plano.
- El cifrado, cada vez más utilizado por los atacantes: así lo confirma el último estudio sobre el Internet Security Report, donde el 71 % del malware actual se distribuye mediante conexiones cifradas (TLS). Esto hace que tecnologías como la inspección profunda de paquetes (DPI) y el análisis de comportamiento sean fundamentales para detectar amenazas que de otro modo pasarían desapercibidas.
Frente a un panorama de ransomware cada vez más sofisticado y orientado a maximizar el impacto con menos víctimas, los MSP necesitan un enfoque que les permita aislar rápidamente cualquier incidente y evitar su propagación. La microsegmentación de red, el control riguroso del tráfico interno y la protección individualizada de cada endpoint, son medidas esenciales que, implementadas con soluciones de seguridad de red y de endpoint robustas, fortalecen la capacidad de respuesta y ayudan a reducir el impacto de estos ataques.
En este sentido, contar con herramientas que equilibren eficacia y flexibilidad, y que se ajusten tanto a las necesidades reales de seguridad como a la lógica del negocio, puede marcar la diferencia para los MSP. Así es posible mantener un nivel de protección constante y anticiparse a las técnicas más recientes, protegiendo la continuidad de las organizaciones que confían en sus servicios.
Si quieres conocer más sobre el ransomware y cómo proteger a tus clientes, no dejes de visitar los siguientes artículos de nuestro blog: