Blog de WatchGuard

Go to 

Las detecciones de ransomware en endpoints aumentaron un 627%

27 junio 2023 Por Manu Santamaria
Ransomware-endpoint-attacks

Es una realidad que el ransomware sigue presente y va en aumento. Tanto es así, que hoy en día algunas organizaciones incluyen el coste de un ataque de ransomware en sus presupuestos anuales.

Datos de nuestro último Internet Security Report - Q4 2022  revelan que las detecciones de ransomware en los endpoints se incrementaron en un alarmante 627% en 2022, en comparación con el año anterior. Si bien el ransomware  no discrimina por tipo de industria, es cierto que el sector de la fabricación fue el más afectado durante el 2022 donde, según un reciente estudio que revela las amenazas y tendencias en el espacio de la tecnología operativa (OT), los ataques contra estos dispositivos aumentaron un 87% en 2022 en comparación con 2021 y el 72% de ellos tuvieron como objetivo el sector manufacturero.

¿Cuándo nace y cómo evoluciona el ransomware?

La naturaleza del ransomware ha cambiado a medida que los ciberdelincuentes han conseguido perfeccionar sus tácticas para mejorar la extorsión. Un ejemplo del perfeccionamiento de este ataque es que, solo en un año, de 2021 a 2022, el tiempo medio para completar un ataque de ransomware bajó de 2 meses a menos de 4 días. Pero ¿cuándo nace esta modalidad de ciberataque y cómo se transforma hasta lo que conocemos hoy?

  • 1989: el primer ataque de ransomware se produjo tras la conferencia sobre el SIDA de la Organización Mundial de la Salud en 1989, cuando un actor malicioso envió por correo 20.000 disquetes que contenían un ransomware que retenía los datos como rehenes y exigía un pago de 189 dólares con la excusa de ser un cuestionario sobre el VIH.
  • 2004 - 2006: en 2004, una campaña de phishing con enlaces maliciosos logró infectar a sus víctimas con un ataque conocido como GPCode Archievius que cifraba archivos en sistemas Windows y solicitaba 20 dólares por la clave de descifrado. Para el 2006, los autores de ransomware pusieron sus esfuerzos en Archievus, aunque sin éxito, ya que no utilizaron diferentes contraseñas para desbloquear los sistemas y los objetivos del ataque descubrieron el error.
  • 2010 – 2015: en la década de 2010 surgió el locker ransomware vinculado a los primeros días de las criptomonedas. WinLock, en 2011, infectaba a los usuarios que visitaban sitios web maliciosos y bloqueaba el acceso a sus dispositivos. En 2012, surge el primer ransomware como servicio (RaaS) con el malware Reveton, un ataque que se disfrazaba de mensajes enviados por las fuerzas de seguridad y que amenazaba a los usuarios con penas de cárcel si no pagaban un rescate en Bitcoin. En 2013 llega CryptoLocker, una variante de locker y de cripto que consiguió que sus autores obtuvieran más de 27 millones de dólares en pagos por ransomware en los dos primeros meses. Con SimpleLocker, en 2014, el ransomware da el salto de PC a otros dispositivos, siendo el primer ransomware en cifrar archivos en dispositivos Android. Y, en 2015, LockerPin, que también se dirigía a dispositivos móviles, bloqueaba a los usuarios de sus dispositivos y cambiaba su PIN.
  • 2016: la variante Petya fue la primera variante que no cifró archivos individuales, sino que consiguió que los actores lograran bloquear todo el disco duro de sus víctimas de forma más rápida.
  • 2017: este año el ransomware se volvió global con el ransomworm WannaCry, que afectó a cientos de miles de máquinas en más de 150 países y en diferentes industrias. Este año también aparece la variante NotPetya, que incorporaba nuevas funciones de limpieza que podían borrar y destruir los archivos de los usuarios.
  • 2018-2022: en los últimos 5 años el ransomware ha evolucionado hacia su fase más dañina hasta el momento. Entre los factores que han influido en esta transformación están el uso de la doble extorsión, donde los atacantes no solo cifran, sino que también roban los datos de sus víctimas, y la caza mayor, es decir, la persecución de las grandes empresas como objetivos. Es importante destacar, que el aumento de esta “caza mayor” no descarta en ningún caso los ataques de ransomware a empresas de menor tamaño que se venían observando en el pasado.
  • 2022-2023: 2022 fue un año récord de detecciones de ransomware para WatchGuard, con un incremento del 627% en las detecciones en comparación con 2021. De nuestro análisis concluimos que Lockbit es, sin lugar a duda, el grupo de ransomware que parece tener mayor éxito en la filtración de datos de empresas, a través de sus afiliados. Además, continuamente aparecen nuevas variantes del malware Lockbit.

Entre las tendencias del ransomware predomina el aumento del ransomware como servicio (RaaS), que se ha visto impulsado por la creciente disponibilidad de plataformas RaaS que ahora ofrecen funciones y servicios como la personalización del malware, asistencia o un sistema de pago para cobrar los rescates. Asimismo, los exploits de día cero se han convertido en uno de los vectores de entrada preferidos para los atacantes de ransomware. Tecnologías como la inteligencia artificial y el machine learning también han ganado terreno en esta industria y son utilizadas por los cibercriminales para conseguir que el ransomware sea más sofisticado y difícil de detectar. Los atacantes aprovechan la automatización para reducir el riesgo de error humano, especialmente en la fase de penetración, ya que, por lo general, requiere una importante inversión de tiempo y esfuerzo. Otra tendencia que ha ganado fuerza es la personalización de estos ataques, donde los actores profundizan en el perfil de sus víctimas y construyen una estrategia hermética para desplegar el malware.  En conjunto, estas novedades han tenido un gran impacto en la industria de un billón de dólares que es hoy en día.

Combatir el ransomware con seguridad en el endpoint

Para combatir estas tendencias, las empresas deben contar tanto con controles de seguridad avanzados que impidan de forma proactiva un incidente, como con buenos planes de recuperación y continuidad del negocio. Implementar una solución de seguridad unificada para endpoints, que combine las funcionalidades de EPP y EDR, ofrece ventajas a la hora de enfrentarse con amenazas avanzadas como el ransomware, ya que proporciona una supervisión continua de los endpoints capaz de detectar y clasificar toda la actividad, permitiendo así revelar y bloquear los comportamientos anómalos de usuarios, máquinas y procesos.

La solución EPDR de WatchGuard cumple con estas características y, además, automatiza las capacidades de prevención, detección, contención y respuesta de cualquier amenaza avanzada. Esto permite, a su vez, descubrir de forma proactiva nuevas técnicas y tácticas de ciberataques y de evasión, un punto muy importante si se tiene en cuenta la continua evolución del ransomware y su nivel de sofisticación que es cada vez más avanzado.

Si quieres conocer más sobre el ransomware y cómo proteger a las empresas de este ataque, puedes visitar los siguientes contenidos:

Comparte esto:

Archivado bajo: Violación de datos, Ransomware, Seguridad endpoint, Detección y respuesta, Dispositivos Endpoint, Protegiendo los Endpoints, Medianas empresas, Pequeña empresas
< Blog Inicio

Posts relacionados

< Blog Inicio