El ransomware vuelve al ataque
McAfee Labs observa una media de 504 nuevas amenazas por minuto en el primer trimestre de 2019. Las brechas de datos facilitan los ataques a grandes organizaciones.
McAfee ha lanzado su informe trimestral de amenazas, McAfee Labs Threat Report: Agosto 2019, que analiza la actividad cibercriminal y la evolución de las ciberamenazas en el primer trimestre del año. En este periodo, McAfee Labs registró una media de 504 nuevas amenazas por minuto y un resurgimiento del ransomware, con nuevas ejecuciones de campañas e innovaciones en el código. También en este tiempo, se colgaron más de 2.200 millones de credenciales de cuentas robadas en la red underground del cibercrimen. El 68% de los ataques dirigidos utilizaron técnicas de spearphishing para el acceso inicial y el 77% dependió de las acciones de los usuarios para la ejecución del ataque.
“El impacto de estas amenazas es muy real”, comenta Raj Samani, Chief Scientist y Fellow de McAfee.“Los números, que hablan de aumentos o disminuciones de ciertos tipos de ataques, sólo cuentan una parte de la historia. Cada infección es otro negocio que debe lidiar con las consecuencias o un usuario que se enfrenta a un caso de fraude importante. No debemos olvidar que cada ciberataque tiene un coste humano”.
El resurgir del ransomware: innovaciones de código y nuevas tácticas de campaña
La división de McAfee dedicada a la investigación de ciberamenazas, McAfee Advanced Threat Research (ATR), observó innovaciones en las campañas de ransomware, con cambios en los vectores de acceso inicial, gestión de campañas e innovaciones técnicas en el código.
Si bien el spearphishing ha mantenido su popularidad, los ataques de ransomware se han dirigido cada vez más a puntos de acceso remoto expuestos, como el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). Estas credenciales pueden ser obtenidas a través de un ataque de fuerza o compradas en la red clandestina underground. Las credenciales RDP se pueden utilizar para obtener privilegios de administrador y otorgan plenos derechos para distribuir y ejecutar malware en redes corporativas.
Los investigadores de McAfee también han observado actores detrás de los ataques de ransomware que utilizan servicios de correo electrónico anónimos para gestionar sus campañas, frente al enfoque tradicional de establecer servidores de mando y control (C2). Las autoridades y las agencias privadas a menudo buscan servidores C2 para obtener claves de descifrado y crear herramientas de evasión. Por lo tanto, el uso de los servicios de correo electrónico es percibido por los actores de la amenaza como un método más anónimo para llevar a cabo actividades delictivas.
Durante el primer trimestre de 2019, las familias más activas de ransomware fueron Dharma (también conocida como Crysis), GandCrab y Ryuk. Otras familias de ransomware relevantes fueron Anatova, expuesta por McAfee Advanced Threat Research antes de tener oportunidad de expandirse ampliamente, y Scarab, una familia de ransomware persistente con nuevas variantes descubiertas regularmente. En general, las nuevas muestras de ransomware aumentaron un 118%.
“Después de una disminución periódica de nuevas familias y desarrollos a finales de 2018, el ransomware volvió fuerte a principios de 2019, con innovaciones en el código y un nuevo enfoque mucho más específico”, explica Christiaan Beek, Científico e Ingeniero Jefe de McAfee.