Crédito de la imagen: Anete Lusina vía Pexels
El Federal Bureau of Investigation (FBI) de Estados Unidos ha emitido una advertencia contundente sobre un preocupante aumento de ataques dobles de ransomware contra empresas estadounidenses. Esta tendencia se remonta a julio de 2023.
Ataques gemelos: una tendencia perturbadora
Los ciberdelincuentes han adoptado un modus operandi inquietante durante estos ataques. Despliegan dos variantes distintas de ransomware contra sus objetivos. Tienen un amplio abanico de opciones a su disposición, incluyendo AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum y Royal. Lo que es particularmente desconcertante es el hecho de que estas variantes a menudo se desatan en varias combinaciones. Esto complica el proceso de recuperación.
La escala de estos ataques sigue envuelta en misterio. Sin embargo, se sospecha que ocurren en rápida sucesión. Se producen en un intervalo de entre 48 horas y 10 días entre sí. Este enfoque rápido deja a las víctimas lidiando con las secuelas de ataques dobles.
Añadiéndose al arsenal de los ciberdelincuentes está el creciente empleo de técnicas personalizadas de robo de datos, herramientas wiper y malware para obligar a las víctimas a ceder a las demandas de rescate. La combinación de estas tácticas resulta en una mezcla angustiante de cifrado de datos, exfiltración de datos y pérdidas financieras mediante pagos de rescates.
El FBI enfatiza que los segundos ataques de ransomware en un sistema ya comprometido podrían infligir un daño significativo a las organizaciones víctimas. Este alarmante desarrollo ha generado preocupación en toda la comunidad de ciberseguridad.
No es un concepto novedoso
El concepto de ataques de ransomware dobles no es del todo sin precedentes. Hay casos documentados que datan de mayo de 2021. En un incidente notable del año pasado, un proveedor automotriz no revelado fue víctima de un ataque triple de ransomware. Este ataque fue orquestado por LockBit, Hive y BlackCat durante un período de dos semanas en abril y mayo de 2022.
A principios de este mes, Symantec informó de un ataque de ransomware 3AM contra un objetivo no revelado. Esto ocurrió después de un intento fallido de infiltrarse en la red con LockBit. Estos incidentes ponen de relieve la evolución de las tácticas de los actores de ransomware.
La evolución de las tácticas
Varios factores causan este cambio de tácticas. Los ciberdelincuentes están explotando vulnerabilidades de día cero. Están capitalizando el crecimiento de los intermediarios de acceso inicial y aprovechando a los afiliados en el panorama del ransomware. Estos intermediarios revenden el acceso a los sistemas de las víctimas. Permiten el despliegue de múltiples cepas en rápida sucesión.
A la luz de estos acontecimientos, se insta encarecidamente a las organizaciones a fortalecer sus defensas. Esto incluye mantener copias de seguridad fuera de línea seguras. También deben monitorizar de cerca las conexiones remotas externas e implementar mecanismos sólidos de autenticación multifactor para frustrar los intentos de phishing. Además, la auditoría de cuentas de usuario y la segmentación de redes pueden ser salvaguardas críticas contra la propagación del ransomware.
Recomendaciones del FBI para la defensa
El FBI aconseja a las organizaciones tomar medidas proactivas para protegerse contra las amenazas de ransomware en evolución. Estas acciones incluyen mantener múltiples copias fuera de línea de copias de seguridad altamente seguras, cifradas e inmutables. Las copias de seguridad inmutables son indispensables para evitar el cifrado, la eliminación o la alteración de datos durante un ataque de ransomware. Facilitan la restauración de datos y redes sin sucumbir a las demandas de rescate.
