Incremento del 75% de ataques de Ransomware en 2023, según Mandiant

El año 2023 ha sido testigo de un resurgimiento significativo en las actividades de ransomware, tras un año 2022 marcado por altibajos. Según el informe de Mandiant “Ransomware Protection and Containment Strategies”, las publicaciones en sitios de filtración de datos aumentaron en un 75%, pasando de 1,100 en 2022 a 1,925 en 2023.

Además, las investigaciones lideradas por Mandiant sobre ransomware incrementaron en un 20%, de 793 en 2022 a 952 en 2023. Este repunte se atribuye a varios factores, incluyendo la estabilización del ecosistema criminal cibernético y la aparición de nuevas alianzas y ofertas de servicios de ransomware.

Nuevas Familias y Variantes de Ransomware

En 2023, Mandiant observó más de 50 nuevas familias y variantes de ransomware, destacando que aproximadamente un tercio de estas (17) eran variantes de familias de ransomware previamente identificadas. Este fenómeno sugiere que los actores de amenazas están optando por actualizar las familias existentes en lugar de crear nuevas desde cero. Además, se ha visto un aumento del 15% en la proporción de ransomware capaz de cifrar sistemas Linux y ESXi, una tendencia que refleja el intento de maximizar el impacto y las demandas de rescate.

Los actores de amenazas continúan utilizando herramientas comerciales y legítimas para llevar a cabo sus operaciones de intrusión. Aunque se ha observado una disminución en el uso de Cobalt Strike BEACON, con una reducción del 25%, ha habido un aumento del 30% en el uso de herramientas de acceso remoto legítimas. En casi un tercio de los incidentes, el ransomware fue desplegado dentro de las primeras 48 horas de acceso inicial, y el 76% de los despliegues ocurrieron fuera del horario laboral, principalmente en la madrugada, entre las 00:00 y las 06:00 horas.

Aceleración en el Despliegue de Ransomware

El tiempo medio entre el acceso inicial y el despliegue del ransomware se ha reducido significativamente a lo largo de los años, con un ligero aumento a seis días en 2023. Sin embargo, en el 15% de los incidentes, el ransomware fue desplegado en menos de un día desde el acceso inicial, y en casi un tercio de los casos (32%), dentro de las primeras 48 horas.

Vectores Comunes de Acceso Inicial

En 2023, los vectores de acceso inicial más comunes incluyeron el uso de credenciales robadas y la explotación de vulnerabilidades en infraestructuras públicas. En aproximadamente el 40% de los incidentes, los actores utilizaron credenciales comprometidas para acceder a los entornos de las víctimas, mientras que cerca del 30% involucraron la explotación de vulnerabilidades conocidas. En términos numéricos, esto significa que en 381 incidentes se usaron credenciales robadas y en 286 se explotaron vulnerabilidades conocidas.

El resurgimiento de los ataques de ransomware en 2023 subraya la persistente amenaza que representan estos ciberataques para organizaciones de todos los sectores y regiones geográficas. La constante evolución de las tácticas y herramientas utilizadas por los actores de amenazas requiere una vigilancia y actualización continua de las estrategias de seguridad cibernética. Las organizaciones deben permanecer alertas y adoptar medidas proactivas para protegerse contra esta creciente amenaza.