Los ataques de ransomware disminuyeron en volumen en un 37 % en diciembre de 2021, y el número total de víctimas conocidas cayó de 318 a 200, según los últimos datos mensuales recopilados por el Equipo de Inteligencia de Amenazas Estratégicas de NCC Group.
Sin embargo, esto no debe tomarse como una señal de que la amenaza de los ataques de ransomware está pasando, ya que es probable que la caída sea estacional y atribuible a varias pandillas de ransomware que se toman un descanso después de unos meses agitados y terminan antes de las vacaciones.
“Sin duda, es positivo ver una disminución en la actividad de los actores de amenazas; sin embargo, las organizaciones no deben tomar esto como una señal de que deben ser complacientes”, dijo el gerente de inteligencia de amenazas cibernéticas de NCC, Matt Hull.
“Los ciberdelincuentes, como muchos de nosotros, tienden a reducir la actividad en épocas estacionales del año, y las tendencias sugieren que es probable que los niveles de ataque aumenten nuevamente en los próximos meses”.
Entre los que tomaron un respiro se encontraba Pysa, que, después de un noviembre muy activo en el que alcanzó 60 objetivos, se cobró solo una víctima en diciembre. Pysa generalmente se enfoca en organizaciones financieras, gubernamentales y de atención médica grandes o de alto valor; entre sus víctimas anteriores en el Reino Unido se encuentra Hackney Council en Londres.
NCC dijo que era probable que Pysa se concentrara en negociaciones y cobros en diciembre, y espera que las cifras de enero muestren un resurgimiento. Tales patrones se han observado antes con Conti, que junto con LockBit fue uno de los equipos más activos el mes pasado, alcanzando 32 y 47 objetivos respectivamente.
Significativamente, diciembre vio el surgimiento de una operación de ransomware aparentemente nueva y altamente avanzada llamada ALPHV o BlackCat, notable por ser el primer ransomware codificado en el lenguaje Rust, que permite personalizar mejor los ataques. Además, ALPHV/BlackCat usa una clave de acceso como token en un ‘parámetro GET’ durante sus ataques; esto significa que solo las partes afiliadas pueden acceder a los registros de chat de negociación, ya que la clave no se puede distribuir, lo que podría ser una medida de ofuscación o un medio. para disuadir a las víctimas de ponerse en contacto con la policía o los medios de comunicación.
También utiliza un esquema de afiliados con una tarifa porcentual como corte, según la cantidad de rescate que se exija, y ejecuta ataques de triple extorsión, donde además del cifrado y la fuga de datos, también se implementan ataques DDoS contra las víctimas.
“La aparición de ALPHV demuestra que el vacío creado por el cierre de grupos de ransomware como REvil y BlackMatter se llenará hasta que nuevos desarrollos indiquen lo contrario”, dijo Hull.
“Las organizaciones deben tomar medidas ahora para asegurarse de tener planes sólidos de respuesta a incidentes para volverse resistentes a futuros ataques, especialmente aquellos en sectores específicos como la industria y los productos cíclicos de consumo”.
Más estadísticas del último informe de NCC revelan que América del Norte y Europa siguen siendo las regiones más atacadas por ataques de ransomware, con 81 y 70 víctimas respectivamente. Dentro de Europa, las organizaciones del Reino Unido, Francia e Italia fueron las más victimizadas.
Las organizaciones industriales continuaron siendo el sector más afectado, representando el 40 % de las víctimas, seguidas por los cíclicos de consumo (un término general que incluye sectores como el automotriz, inmobiliario, de entretenimiento y minorista) que representaron el 27 % de los ataques observados en Diciembre.