El panorama del ransomware continúa evolucionando con tendencias preocupantes que afectan a sectores clave y exponen vulnerabilidades críticas. Según el último informe del equipo de investigación de amenazas de Halcyon, basado en inteligencia recopilada en diciembre de 2024, la sofisticación y el alcance de los ataques de ransomware no dejan de crecer.

Sectores más afectados

En diciembre de 2024, los sectores más afectados por el ransomware fueron los siguientes:

1. Tecnología de la Información (TI): 34% (+6% mes a mes).
2. Educación: 13% (sin cambios).
3. Finanzas y seguros: 9% (-4%).
4. Gobiernos estatales y locales: 9% (+1%).
5. Otros sectores: 7% (+6%).
6. Manufactura: 6% (-7%).
7. Comercio minorista: 6% (+3%).
8. Sanidad y farmacéutica: 5% (sin cambios).
9. Servicios profesionales, científicos y técnicos: 5% (+2%).
10. Artes, entretenimiento y recreación: 4% (-4%).

Estos datos subrayan que sectores críticos como TI, educación y finanzas siguen siendo objetivos prioritarios para los cibercriminales, lo que plantea desafíos importantes para la seguridad de la infraestructura y los datos.

Herramientas y técnicas utilizadas

El informe destaca que los actores de amenazas están utilizando herramientas avanzadas como precursoras de los ataques de ransomware. Estas herramientas incluyen:

• Hacktool.EdRSilencer/EDRStealer: Diseñado para deshabilitar soluciones de detección y respuesta en endpoints (EDR), lo que facilita actividades maliciosas sin ser detectadas.
• Hacktool.Lazagne/Clyp: Un ladrón de credenciales que extrae información sensible, como contraseñas y tokens de autenticación.
• Hacktool.MailBruter: Herramienta para comprometer cuentas de correo electrónico mediante ataques de fuerza bruta.
• Hacktool.sharphound/msil: Utilizado para mapear entornos de Active Directory, permitiendo movimientos laterales y escaladas de privilegios.

Principales familias de ransomware detectadas

Entre los payloads de ransomware bloqueados por Halcyon, se encuentran:

1. LockBit/Fragtor: Reconocido por su velocidad de cifrado y capacidades avanzadas de evasión.
2. Phobos/Zusy: Un ransomware adaptable con capacidades de robo de datos.
3. LockBit/BlackMatter: Combina características de las familias LockBit y BlackMatter, empleando tácticas de doble extorsión.
4. Akira/Dacic: Conocido por deshabilitar herramientas de seguridad y cifrar datos críticos.
5. Incransom/Imps: Emplea extorsión doble al exfiltrar datos antes de cifrarlos.

Enfoque en la doble extorsión

La mayoría de las variantes modernas de ransomware ahora emplean tácticas de doble extorsión. Esto implica no solo el cifrado de datos, sino también la amenaza de publicar información robada si las víctimas no pagan el rescate. Esta estrategia aumenta la presión sobre las organizaciones afectadas, enfrentándolas a riesgos financieros y de reputación.

Proyecciones para 2025

El informe señala que se espera un resurgimiento de amenazas avanzadas como LockBit 4.0, con su lanzamiento previsto para febrero de 2025. Además, grupos como Cl0p han intensificado sus campañas de explotación, destacando la necesidad de una vigilancia constante.

Medidas de protección recomendadas

Para mitigar los riesgos, Halcyon sugiere:

1. Implementar estrategias proactivas: Incluyendo segmentación de redes y gestión estricta de privilegios.
2. Monitorear continuamente: Adoptar soluciones avanzadas de detección y respuesta.
3. Formar a los empleados: Para identificar intentos de phishing y minimizar errores humanos.
4. Respaldar regularmente los datos: Con copias almacenadas fuera de línea.

La naturaleza dinámica del ransomware subraya la importancia de una estrategia integral de ciberseguridad para proteger a las organizaciones de los crecientes riesgos en 2025.

vía: Halcyon