Casi la mitad de los incidentes de seguridad en 2021 estuvieron relacionados con el ransomware

La Respuesta a Incidentes (IR) se produce cuando las compañías llaman a un equipo especializado tras un incidente de seguridad con el fin de limitar el daño y evitar que el ataque se extienda. En Kaspersky, es el Equipo de Respuesta Global a Emergencias (GERT) quien gestiona esta respuesta para grandes y medianas empresas. De enero a noviembre de 2021, casi uno de cada dos incidentes de seguridad gestionados por el GERT estuvo relacionado con ransomware (casi el 50% de todas las solicitudes de IR), lo que supone un aumento de casi 12 puntos porcentuales en comparación con 2020. Este es uno de los principales hallazgos del informe ‘Historia del Año: Ransomware en los Titulares’. El estudio, que forma parte de Kaspersky Security Bulletin (KSB) en el que se examinan las tendencias críticas de seguridad durante el año pasado, analiza en profundidad el panorama actual del ransomware y las expectativas para 2022.

El ransomware se ha convertido en la historia indiscutible del año en materia de ciberseguridad, llegando a tumbar la actividad de gaseoductos y servicios sanitarios públicos. Los operadores de ransomware han perfeccionado su arsenal, centrándose en un menor número de ataques contra organizaciones a gran escala, y ha aparecido todo un ecosistema subterráneo para apoyar los esfuerzos de las bandas especializadas en este tipo de ciberdelito.

De hecho, durante los primeros 11 meses de 2021, el porcentaje de solicitudes de IR procesadas por el equipo GERT de Kaspersky fue del 46,7%, un salto desde el 37,9% de todo 2020 y el 34% de 2019.

Los objetivos más comunes fueron los del sector público e industrial; juntos, los ataques contra esas dos industrias supusieron casi el 50% de todas las solicitudes de IR relacionadas con el ransomware en 2021. Otros objetivos populares fueron las organizaciones financieras y tecnológicas.

Sin embargo, a medida que los operadores de ransomware piden mayores rescates y se dirigen a objetivos de más alto perfil, también aumenta la presión por parte de los políticos y las fuerzas del orden, por lo que incrementar la eficiencia de los ataques resulta crítico. Como resultado, los expertos de Kaspersky han observado dos tendencias importantes que ganarán en popularidad en 2022. En primer lugar, es probable que las bandas de ransomware construyan con más frecuencia versiones ransomware para Linux con el objetivo de maximizar su superficie de ataque; esto es algo que ya se ha visto con grupos como RansomExx y DarkSide. Además, los operadores de ransomware empezarán a centrarse en el 'chantaje financiero'. Los ciberdelincuentes amenazan con filtrar información sobre las compañías cuando están pasando por eventos financieros críticos (es decir, ante una fusión o adquisición o una salida a bolsa) con el objetivo de infravalorar el precio de las acciones. Al encontrarse en un momento financiero tan vulnerable, es más probable que estas paguen el rescate.

“Empezamos a hablar del llamado Ransomware 2.0 en 2020, y lo que hemos estado viendo en 2021 es que ya está plenamente vigente. Los operadores de ransomware no se limitan a cifrar datos; los roban de objetivos críticos a gran escala y amenazan con exponer la información si las víctimas no pagan. Esta tendencia continuará durante el próximo año”, comenta Vladimir Kuskov, jefe de Exploración de Amenazas de Kaspersky.

“Ahora que el ransomware está en los titulares, las fuerzas de seguridad están trabajando duro para acabar con estos prolíficos grupos, como ha ocurrido con DarkSide y REvil este año. Los ciclos de vida de estas bandas se están reduciendo, y eso significa que van a tener que refinar sus tácticas en 2022 para seguir siendo rentables, sobre todo si algunos gobiernos hacen ilegal el pago de rescates, algo que se está debatiendo”, añade Fedor Sinitsyn, experto en seguridad de Kaspersky.

Para protegerse del ransomware, los expertos de Kaspersky recomiendan a las empresas:

• No exponga los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras para ellos.
• Instale rápidamente los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y que actúan como gateways en su red.
• Mantenga siempre actualizado el software en todos los dispositivos que utilice para evitar que el ransomware aproveche las vulnerabilidades.
• Centre su estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Preste especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Haga copias de seguridad de los datos con regularidad. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cuando sea necesario. Utilice la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs reales utilizadas por los actores de las amenazas.
• Utilice soluciones como Kaspersky Endpoint Detection and Response y el servicio Kaspersky Managed Detection and Response que ayudan a identificar y detener un ataque en sus primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
• Para proteger el entorno corporativo, forme a sus empleados con cursos como los que se ofrecen en Kaspersky Automated Security Awareness Platform. Puede acceder a una lección gratuita sobre cómo protegerse de los ataques de ransomware, aquí.
• Utilice una solución de seguridad de confianza para los endpoints, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden impedir su eliminación por parte de los ciberdelincuentes.