El ransomware sigue siendo la ciberamenaza principal, y Maze, Egregor y Conti ransomware representaron casi la mitad de todos los grandes ataques de ransomware conocidos en 2020. Más de 1.100 empresas sufrieron el robo de datos este año después de exitosos ataques de ransomware, que luego se filtraron a otros sitios . El cambio de enfoque hacia la exfiltración de datos es una de las principales tendencias descritas en el Informe Acronis Cyberthreats 2020, y esperamos que esa tendencia se acelere el próximo año.
La tendencia de la doble extorsión tiene sentido para los ciberdelincuentes y es la evolución lógica que ha ocurrido en 2020. A estas alturas, las organizaciones han reconocido la importancia de tener una buena estrategia de respaldo y un plan de recuperación de desastres que funcione. Por lo tanto, el riesgo de perder datos debido al cifrado ilícito ha disminuido y las víctimas están menos motivadas para pagar por una clave de descifrado.
Nuevo modelo de negocio
En respuesta, los ciberdelincuentes han adaptado su modelo de negocio. Ahora roban datos patentados y luego amenazan con divulgar públicamente los archivos robados si la víctima no paga, lo que aumenta la presión. Algunos de los ciberdelincuentes incluso argumentan durante las negociaciones que la víctima tendrá que pagar el rescate o enfrentará una multa por regulación de privacidad, que podría ser de unos pocos millones de libras en el caso de GDPR. El argumento es que la víctima perderá menos si paga el rescate, y es posible que tenga una póliza de seguro cibernético que pueda cubrir parte del rescate por ella. No hace falta decir que las demandas de rescate pueden ser muy altas, como mostró el precio inicial de venta de 34 millones de dólares durante el reciente ataque de Foxconn.
Por supuesto, no se pagan todas las demandas iniciales de rescate, pero incluso si una organización paga solo una fracción, sigue siendo muy rentable para los atacantes. Los datos de telemetría del Centro de operaciones de protección cibernética de Acronis (CPOC) muestran que el 19 por ciento de las detecciones globales de ransomware en noviembre se realizaron en los EE. UU., con un aumento del 11 por ciento en el último trimestre. Esperamos que esta tendencia crezca aún más en 2021, con un aumento en los ataques automatizados y más colaboraciones de crimeware como servicio.
Otra tendencia clara es el enfoque en atacar MSP y centros de datos en la nube. La transformación digital acelerada debido a la pandemia, en combinación con la falta de habilidades de protección cibernética, podría ser una de las razones por las que muchas pequeñas y medianas empresas recurren a los MSP para obtener servicios de seguridad. Desafortunadamente, este movimiento convierte a los MSP en un objetivo aún más interesante para los ciberdelincuentes. Si los atacantes logran comprometer a un proveedor de servicios, pueden obtener acceso a las herramientas internas y extender el ataque a todos los clientes conectados. Esta estrategia amplifica el impacto del ataque y brinda nuevas oportunidades de ganancias, ya que los ciberdelincuentes ahora también pueden perseguir a cada cliente individual. Incluso si el atacante no aprovecha esa relación de confianza para futuros ataques, todavía existe una alta dependencia de los centros de datos para todos los clientes. Cualquier tiempo de inactividad en el centro de datos puede ser muy costoso y perjudicial, como cuando se utiliza software de escritorio como servicio. Esta interrupción ejerce una presión adicional sobre el proveedor de servicios para que pague el rescate. El proveedor de servicios y alojamiento en la nube Netgain descubrió este hecho por las malas a finales de noviembre. La compañía se vio comprometida por el ransomware, lo que la obligó a desconectar algunos de sus centros de datos. Según la compañía, esto fue de acuerdo con los esfuerzos adicionales para contener el problema e instalar medidas de seguridad adicionales. Para los clientes, el resultado fue un incidente de tiempo de inactividad que fue muy perturbador.
Estos ataques pueden verse como una expansión de las tácticas de vivir fuera de la tierra, ya que los atacantes utilizan herramientas existentes dentro de la infraestructura de TI contra la víctima. Bloquear estas tácticas de vivir fuera de la tierra a menudo es difícil porque están involucradas herramientas legítimas como PowerShell o WMI. Un modus operandi común es encontrar cuentas de administrador de dominio o consolas de administración, desinstalar todo el software de seguridad en ellas y eliminar todas las copias de seguridad disponibles antes de usar el mismo canal de distribución de software para implementar el malware en toda la empresa. Con el traslado a la nube, la superficie de ataque también aumenta, lo que esperamos que los ciberdelincuentes exploten el próximo año.
Perspectivas de ciberamenazas 2021
No sorprende que los ciberdelincuentes hayan utilizado la pandemia de COVID-19 para aumentar sus ataques. No utilizaron métodos nuevos e innovadores, sino más bien técnicas existentes automatizadas para aumentar la frecuencia de sus ataques. Con los avances en AI / ML y los servicios en la nube disponibles, es probable que esto continúe aumentando e incluso podría producir nuevas técnicas de ataque, como los ataques de enjambre.
Como detallamos en el informe de 2020, esperamos que los ciberdelincuentes aumenten sus ataques contra los empleados que trabajan desde casa, ya que aún no están adecuadamente protegidos. Una encuesta reciente de Acronis mostró que el 92 por ciento de las organizaciones globales tuvieron que adoptar nuevas tecnologías para completar el cambio al trabajo remoto. Como resultado, el 72 por ciento de las organizaciones globales vieron aumentar sus costos de TI durante la pandemia.
La adopción de ataques de doble extorsión continuará extendiéndose, reemplazando el cifrado como la táctica principal de ransomware. Y en su esfuerzo por maximizar el impacto de sus ataques, algunos grupos de ransomware centrarán su atención en nuevos campos, como la infraestructura en la nube, buscando depósitos de datos, aplicaciones sin servidor y contenedores.
De cara al 2021, será importante tener una estrategia de protección cibernética centrada en los datos para combatir la creciente ola de ataques automatizados contra todas las ubicaciones donde se almacenan o procesan los datos.