Ivanti, proveedor de la plataforma de automatización Ivanti Neurons que descubre, gestiona, seguriza y da servicio a los activos de TI desde la nube hasta el dispositivo, ha anunciado hoy los resultados del estudio Ransomware Index Spotlight, referido al tercer trimestre de 2021. Ivanti ha llevado a cabo esta investigación junto con Cyber Security Works y Cyware, proveedor líder de Cyber Fusion, SOAR (planificación, automatización y respuesta de seguridad) de última generación y soluciones de inteligencia de amenazas.
Los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de ‘día cero’
El informe reveló que, desde el segundo trimestre de 2021, el ransomware no ha dejado de crecer, tanto en volumen como en cuanto al grado de sofisticación de sus amenazas. En relación al segundo trimestre, en este tercer trimestre se produjo un aumento del 4,5 % en las vulnerabilidades más comunes asociadas al ransomware, un incremento del 4,5 % en las vulnerabilidades de tendencia, explotadas con mayor frecuencia, un aumento del 3, 4 % en las familias de ransomware, y un incremento del 1,2% en las vulnerabilidades más antiguas ligadas a este tipo de malware.
En el tercer trimestre de 2021, el informe sacó a la luz 12 nuevas vulnerabilidades vinculadas al ransomware, lo que eleva a 278 el número total de ataques asociados a este malware. De las 12 más recientes, cinco pueden realizar ataques de ejecución remota de código y dos pueden explotar aplicaciones web y ser manipuladas para lanzar ataques de denegación de servicio.
El informe reveló también que los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de ‘día cero’ (fallos de seguridad recientes, para los que todavía no existen parches), incluso antes de que las más comunes se incorporen a la National Vulnerability Data Base y se hagan públicos sus correspondientes parches. Como ejemplo, el grupo REvil descubrió y explotó una vulnerabilidad en el software Kaseya VSA, mientras el equipo de seguridad de la empresa trabajaba activamente en un parche.
El informe identificó también seis nuevas vulnerabilidades activas y de tendencia asociadas al ransomware, elevando el total a 140, así como cinco nuevas familias de este malware, resultando un total de 151. En el tercer trimestre, estos nuevos grupos de ransomware se aprovecharon rápidamente de algunas de las vulnerabilidades más peligrosas que son tendencia en la actualidad, como PrintNightmare, PetitPotam y ProxyShell.
El análisis reveló también que los grupos de ransomware están incorporando técnicas más novedosas y sofisticadas en sus ataques, como “Dropper-as-a-service” y “Trojan-as-a-service”. El “Dropper-as-a-service” permite a los hackers menos expertos distribuir malware a través de programas que, una vez ejecutados, son capaces de instalar una carga útil maliciosa en el ordenador de la víctima. El “Trojan-as-a-service”, también llamado “malware como servicio”, permite a cualquier persona que disponga de una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación previa.
Por ultimo, el informe puso de manifiesto que, durante el tercer trimestre de 2021, tres vulnerabilidades de 2020 (o anteriores) fueron recientemente vinculadas al ransomware, por lo que el total de las vulnerabilidades más antiguas asociadas a este tipo de malware se eleva a 258, un altísimo 92,4 % del total de vulnerabilidades que tienen algún tipo de relación con el ransomeware. También, en este tercer trimestre, el grupo de ransomware Cring atacó dos vulnerabilidades más antiguas: CVE-2009-3960 y CVE-2010-2861, que cuentan con parches desde hace más de una década.
Técnicas más maduras
Srinivas Mukkamala, vicepresidente senior de Productos de Seguridad de Ivanti, afirmó: “Los grupos de ransomware continúan madurando sus tácticas, ampliando sus arsenales de ataque y apuntando a las vulnerabilidades no parcheadas en las superficies de acceso de las empresas.Con este informe, pretendemos ayudar a las organizaciones a ser conscientes de los riesgos de seguridad y de la exposición a las vulnerabilidades de sus entornos y dispositivos,facilitándoles información práctica para solucionarlo con la mayor rapidez. Es fundamental que las empresas adopten un modelo proactivo basado en el riesgo para la gestión de parches, y que aprovechen las tecnologías de automatización para reducir el tiempo medio de detección, descubrimiento, remediación y respuesta a los ataques de ransomware y otras ciberamenazas“.
Anuj Goel, director general de Cyware, señaló: “Este estudio demuestra que el ransomware sigue evolucionando y su peligrosidad va en aumento, debido al gravísimo perjuicio que puede infligir a las empresas víctimas de sus ataques. Lo que resulta más complejo para muchas organizaciones es la lentitud de las industrias verticales en compartir los COIs (indicadores de compromiso) específicos, independientemente del sector, para facilitar la curación, operación y difusión, que permitan tomar medidas antes de que se produzca el ataque. Gestionar el riesgo significa que las empresas deben contemplar una estrategia de defensa colectiva, que ofrezca una visibilidad continua de las superficies de ataque y riesgo,son el fin de reducir las enormes pérdidas de reputación, clientes y finanzas. Cuanto más puedan los equipos cibernéticos vincularse a la automatización y a los procesos de TI, mejor y más eficiente será la lucha contra el ransomware“.
Aaron Sandeen, director general de Cyber Security Works, añadió: “Vemos que los ataques de ransomware han crecido peligrosamente en sofisticación y frecuencia en el tercer trimester de 2021. Observamos también que nuestros clientes van madurando en materia de ciberseguridad y sus riesgos disminuyen cuando empiezan a trabajar con nosotros, pues evaluamos continuamente sus vulnerabilidades, incorporamos nuestra inteligencia sobre amenazas en sus operaciones diarias y reducimos el tiempo para completar la remediación.”
El informe Ransomware Index Spotlight se basa en información recogida de diversas fuentes, incluyendo datos propios de Ivanti y CSW, bases de datos públicas sobre amenazas, e investigaciones de amenazas y equipos de pruebas de penetración.
