Crece el ‘ransomware’ con cifrado remoto

Grupos de ransomware como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta están aplicando una técnica de cifrado remoto para llevar a cabo sus ataques.

Así lo advierte Sophos, cuya tecnología antirransomware CryptoGuard ha detectado un aumento del 62 % a nivel interanual en los ataques intencionales de cifrado remoto desde el año 2022.

“El ransomware remoto es un importante problema para las empresas”, advierte Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard, “y está contribuyendo a la longevidad del ransomware en general”.

“Dado que la lectura de datos a través de una conexión de red es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar estratégicamente sólo una fracción de cada archivo”, comenta. “Este enfoque tiene como objetivo maximizar el impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores se den cuenta del ataque y respondan”.

Loman explica que “las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido” para comprometerla por entero.

“La mayoría de las empresas tienen, al menos, uno y los atacantes lo saben, así que buscan ese ‘punto débil'” indica, por lo que “el cifrado remoto va a seguir siendo un problema perenne para los defensores y, según las alertas que hemos visto, este método de ataque está aumentando constantemente”.

La previsión de los expertos es que los cibercriminales seguirán basándose en endpoints comprometidos para alcanzar otros dispositivos conectados y cifrar sus datos.

“En el caso del cifrado remoto, el malware y la ejecución residen en un ordenador distinto (desprotegido) del que tiene los archivos cifrados”, apunta el vicepresidente de investigación de amenazas de Sophos. “La única forma de detenerlo es vigilando los archivos y protegiéndolos“.