Tras meses de descenso, los ataques de ‘ransomware’ vuelven a dispararse

La actividad del ransomware se ha intensificado durante el segundo trimestre. Tras encadenar varios meses de descenso, estos ataques se incrementaron a nivel mundial un 24 % entre los meses de abril y junio respecto al primer trimestre.

Así se desprende del Informe de Amenazas Q2/2022 de Avast, cuyo director de Investigación de Malware, Jakub Kroustek, explica que “los consumidores, pero especialmente las empresas, deben estar en guardia y preparados para enfrentarse al ransomware, ya que la amenaza no va a desaparecer a corto plazo“.

“El descenso de los ataques de ransomware que observamos en el cuarto trimestre de 2021 y en el primer trimestre de 2022 fue debido a que las fuerzas de seguridad arrestaron a miembros de grupos de ransomware“, señala, “y también por la guerra en Ucrania, que provocó desacuerdos dentro del grupo de ransomware Conti, lo que detuvo sus operaciones”.

“Las cosas han cambiado drásticamente en el segundo trimestre de 2022″, continúa Kroustek. “Los miembros de Conti se han ramificado para crear nuevos grupos de ransomware, como Black Basta y Karakurt, y también pueden unirse a otros grupos existentes, como Hive, BlackCat o Quantum, lo que ha provocado un aumento de la actividad”.

Además se están produciendo incluso ataques triples. Sophos ha detectado un triple ciberataque de ransomware, con Hive, LockBit y BlackCat realizando su propia petición de rescate al mismo objetivo. Mientras las dos primeras bandas de cibercriminales actuaron en un margen de dos horas, la siguiente atacó a las dos semanas.

Avast, por su parte, ha descubierto durante el segundo trimestre nuevos exploits de día cero. Uno de ellos aprovechaba un fallo en WebRTC para impactar a los usuarios del navegador Chrome en ataques de watering hole. Otro fue explotado para entrar en el kernel de Windows.

Por otro lado, el hecho de que Microsoft haya decidido bloquear por defecto las macros en las aplicaciones de Office está provocando que los ciberdelincuentes comiencen a preparar “vectores de infección alternativos”. Jakub Kroustek observa cómo “IcedID y Emotet ya han empezado a utilizar archivos LNK, imágenes ISO o IMG y otros trucos compatibles con la plataforma Windows como alternativa a los maldocs para propagar sus campañas”.

Emotet, de hecho, sigue siendo el malware más extendido. Aunque ha reducido su impacto en un 50 % coincidiendo con las vacaciones, también esta incorporando nuevas características para causar nuevas víctimas, como un módulo de robo de tarjetas de crédito.