El potencial de los ciberdelincuentes ha adoptado una tendencia clara; orientarse hacia los sectores más sensibles de la sociedad. De este modo, la sanidad, la educación y los gobiernos locales están en el punto de mira de quienes buscan causar el máximo daño posible y revender los datos sustraídos. Solo entre agosto de 2023 y julio de 2024 se notificaron 200 incidentes asociados a 37 países y con 36 grupos de ransomware diferentes implicados.
El sector sanitario sigue siendo el más perjudicado de todos. Tomando como referencia el informe ‘Barracuda Threat Spotlight’ de Barracuda Networks, se puede concluir que el 21% de los ataques de ransomware afectaron a la atención sanitaria. Se trata de uno de cada cinco ataques registrados y supone un 3% más que hace un año. El 15% de los ataques de ransomware al sector sanitario se dirigieron a la industria manufacturera y el 13% a las empresas tecnológicas.
Con respecto al sector de la educación, los ataques se redujeron a la mitad, pasando del 18% del año pasado a representar el 9% de los ataques en 2023/2024. Por su parte, los incidentes contra los servicios financieros experimentaron notablemente, pasando de menos del 1% a registrar un 6% en 2024.
En líneas generales, la proporción de ataques dirigidos a otras industrias aumentó considerablemente. El 42% de todos los ataques afectaron a sectores externos. Hay que tener en cuenta que el 9% han sido contra empresas manufactureras y el 13% contra empresas tecnológicas.
Causas de la presencia del ransomware en municipios, sanidad y educación
En lo que a factores clave se refiere, las vulnerabilidades de seguridad en las infraestructuras de TI marcan un aspecto fundamental. Éstas se deben a sistemas operativos desactualizados, software obsoleto o a la falta de implementación de parches de seguridad.
De igual modo, destaca la falta de capacitación y conciencia en ciberseguridad. Los municipios, servicios de salud y educación son sectores que sufren cómo sus empleados son víctimas de técnicas de ingeniería social para que los ciberdelincuentes accedan a sus sistemas. Esto es consecuencia directa de la falta de conocimiento sobre las prácticas de seguridad, lo que deriva en comportamientos de alto riesgo (hacer clic en enlaces o descargar archivos adjuntos maliciosos).
El poder del ransomware como servicio (RaaS)
Una tónica habitual que se ha sucedido durante el último año es que los grupos de ciberdelincuentes ofrecen modelos de ransomware como servicio (RaaS) o ransomware de alquiler. Aquí destaca el caso de LockBit, que entre 2023 y 2024 protagonizó uno de cada seis ataques, es decir, el 18% de todos los ataques que se registraron. Pese a que las autoridades consiguieron desmantelar al grupo en febrero de 2024, lograron sus objetivos: el 28% a organizaciones sanitarias, el 21% a municipios y el 14% a educación.
Otro ejemplo de ransomware de alquiler es el ALPHV o BlackCat, que representó el 14% de los ataques registrados. Un tercio de los incidentes se centraron en organizaciones de atención médica y el 17% en servicios financieros.
Otro caso destacado es el de Rhysida, nuevo grupo de ransomware surgido a principios de 2023 que representó el 8% de los ataques con nombre. El 38% de ellos afectaron directamente al sector sanitario.
Los ataques de RaaS son difíciles de predecir y de contener. Así pues, puede generarse una gran variedad de tácticas, técnicas y procedimientos (TTP). Se puede dar el caso de que algunos afiliados empleen diferentes tipos de ransomware en distintos ataques.
Solo en el primer semestre de 2024, uno de cada cuatro clientes de XDR (el 23%) se enfrentaron a un ataque de ransomware.
Los principales comportamientos de ataque detectados en 2024
El ataque se inicia con tácticas de escaneo, movimiento lateral, descarga de malware y, finalmente, el cifrado de archivos en el que se ejecuta el componente ransomware del ataque.
El movimiento lateral se considera el indicador más evidente de un ataque de ransomware en progreso, siendo detectado en el 44% de los casos. El 25% de los casos se llegó a determinar cuando los ataques comenzaron a modificar archivos y el 14% debido a comportamientos que no coincidían con los patrones habituales de actividad.
En los primeros seis meses de 2024, se activaron más de 3600 alertas de seguridad basadas en una serie de reglas personalizadas del Centro de Operaciones de Seguridad (SOC) de Barracuda.
El ransomware se sitúa actualmente en un panorama complejo y en constante evolución. Los grupos de amenaza trabajan por fortalecer sus posiciones y resulta muy difícil predecir cómo se comportarán los atacantes o cómo pueden defenderse las empresas.
Lo más importante es incluir tecnologías de seguridad de múltiples capas. Esto implica una protección de correo electrónico impulsada por IA, medidas de acceso Zero Trust, seguridad de aplicaciones, búsqueda de amenazas, capacidades XDR y una respuesta rápida y eficaz frente a incidentes, cerrando así las posibles brechas de seguridad. Con un software constantemente actualizado se lograrán evitar la gran mayoría de los problemas.