El grupo de ransomware Conti está intensificando su actividad. Después de haber conseguido más de 180 millones de dólares el pasado año mediante la extorsión a sus víctimas, sigue llevando a cabo más ataques con más fuerza que nunca.
De acuerdo con los datos del Ransomware Index Report del primer trimestre de 2022 de Ivanti, las vulnerabilidades vinculadas al ransomware han crecido un 7,6%. El grupo de ransomware Conti habría explotado la mayoría de ellas.
En total, el informe apunta la existencia de 22 nuevas vulnerabilidades vinculadas al ransomware, de las que 19 están vinculadas a Conti. De hecho, el grupo prometió apoyo al gobierno ruso tras la invasión de Ucrania y, desde entonces, su actividad sigue in crescendo.
Además, el informe también destaca el aumento de un 7,5% en los grupos APT (amenazas avanzadas persistentes) asociados con el ransomware. Asimismo, también han crecido un 6,8% las vulnerabilidades explotadas activamente y un 2,5 % en las familias de ransomware.
En concreto, tres nuevos grupos de APT (Exotic Lily, APT 35, DEV-0401) han empezado a utilizar ransomware para atacar a sus objetivos, y cuatro nuevas familias de ransomware (AvosLocker, Karma, BlackCat, Night Sky) se han activado en los tres primeros meses del año.
Sin embargo, los ciberdelincuentes tienen puestas sus miras en explotar al máximo las vulnerabilidades existentes para ataques de ransomware de forma cada vez más rápida. Sus objetivos son aquellas víctimas en las que pueden causar un mayor impacto.
Es el caso del reciente ataque a 30 instituciones gubernamentales de Costa Rica, entre ellas el Ministerio de Hacienda, robando todo tipo de información. Inicialmente pidieron 15 millones de dólares. La negativa del gobierno ha llevado a Conti a elevar el rescate hasta los 20 millones de dólares o borrarán toda la información robada.
Nuevo enfoque contra vulnerabilidades
La creciente sofisticación por parte de los grupos de ransomware ha llevado a la explotación de vulnerabilidades durante los ocho días posteriores a que los proveedores lanzasen parches de seguridad. Y es que estos ciberdelincuentes aprovechan la mínima relajación en las medidas de seguridad para adentrarse en los sistemas y redes de proveedores y empresas.
En este escenario, el informe destaca que una cuestión a tener muy en cuenta es que algunos de los escáneres más populares no detectan varias vulnerabilidades clave de ransomware. De hecho, más del 3,5% de las vulnerabilidades de ransomware se pasan por alto, lo que expone a las organizaciones a graves riesgos.
Según las estimaciones de Cyber Security Works, todavía existen 21 vulnerabilidades de ransomware los escáneres no detectan, cinco de las cuales están clasificadas como críticas y asociadas con conocidas bandas de ransomware como Ryuk, Petya y Locky.
A esto se le suman otras problemáticas como que muchas empresas solo parchean vulnerabilidades nuevas o aquellas que se publican en bases de datos nacionales. Para proteger mejor a las organizaciones contra los ciberataques, los equipos de seguridad y TI deben adoptar un enfoque basado en el riesgo para la gestión de vulnerabilidades.
Esto requiere la utilización de tecnología basada en Inteligencia Artificial (IA) que pueda identificar las exposiciones y las amenazas activas, proporcionar alertas tempranas, predecir ataques y priorizar actividades para minimizar su impacto.
El ransomware más allá de Conti
Aunque Conti se ha convertido en una de las grandes amenazas actuales, el informe de Ivanti apunta que hay un sector especialmente sensible a los ciberataques.
Tras analizar 56 proveedores que suministran aplicaciones de atención médica, dispositivos médicos y hardware utilizados en hospitales y centros de atención médica, descubrió 624 vulnerabilidades únicas en sus productos. Cuarenta de esas vulnerabilidades contenían exploits públicos y dos vulnerabilidades (CVE-2020-0601 y CVE-2021-34527) asociadas con cuatro operadores de ransomware (BigBossHorse, Cerber, Conti y Vice Society).
Para los expertos, esto puede ser un indicio de que el sector sanitario puede ser víctima de ciberataques de ransomware más agresivos en los próximos meses.
No en vano, junto al aumento en la cantidad de vulnerabilidades de ransomware y las APT que usan ransomware, una de las principales preocupaciones que ha surgido es la falta de visibilidad completa de las amenazas para los equipos de seguridad debido a la inteligencia de las amenazas.
El informe concluye que, si los equipos de seguridad tienen que mitigar los ataques de ransomware de forma proactiva, deben vincular su respuesta de parches y vulnerabilidades a un flujo de trabajo de gestión de inteligencia de amenazas centralizado. Esto permitirá tener una visibilidad completa de los vectores de ataque de ransomware que cambian de forma y reforzar así la protección.