Redes

Cómo los ataques de ransomware se dirigen a industrias específicas

Barracuda analizó más de 100 incidentes de ransomware de alto perfil y descubrió que las industrias más atacadas eran educación, municipalidad, salud, infraestructura y finanzas.

Secuestro de datos.Imagen: nevarpp, Getty Images/iStockphoto

Informes de seguridad de lectura obligada

Los ataques de ransomware pueden afectar a casi cualquier tipo de organización en cualquier sector. Sin embargo, algunas industrias han demostrado ser objetivos más tentadores para los ciberdelincuentes. En un informe publicado el miércoles 24 de agosto, el proveedor de seguridad Barracuda discutió qué tipos de empresas han sido atacadas por ransomware y ofreció consejos sobre cómo combatir estos ataques.

La cantidad de amenazas de ransomware detectadas por Barracuda aumentó a más de 1,2 millones por mes entre enero y junio de 2023. La cantidad de ataques de ransomware reales aumentó en enero, pero luego comenzó a disminuir en mayo.

Los investigadores de Barracuda encuestaron 106 ataques de alto perfil y encontraron que cinco industrias fueron las principales víctimas: 15 % dirigida a la educación, 12 % a los municipios, 12 % a la atención médica, 8 % a la infraestructura y 6 % a las finanzas.

Las industrias objetivo enfrentan un aumento en los incidentes de ransomware

Los ataques contra municipios aumentaron levemente en los últimos 12 meses, pero los ataques contra instituciones educativas se duplicaron con creces, mientras que los ataques contra empresas financieras y de salud se triplicaron. Al mismo tiempo, los ataques a infraestructura crítica se cuadriplicaron, lo que sugiere que las bandas de ciberdelincuentes y los estados-nación rivales buscan causar el mayor daño colateral posible más allá de sus víctimas iniciales.

LEER  Aproveche al máximo NetFlow analizando datos con recopiladores

VER: Cómo proteger su organización de los ataques de ransomware como servicio (Tecnopedia)

Además de las cinco industrias más atacadas, otras industrias también son las más afectadas por los ataques de ransomware. Los proveedores de servicios representaron el 14 por ciento de los ataques analizados por Barracuda. Estas organizaciones que brindan asistencia de TI y otros tipos de servicios comerciales son el objetivo porque tienen acceso a clientes y clientes, y todos pueden verse afectados por ataques de ransomware.

Los incidentes de ransomware dirigidos a empresas automotrices, empresas hoteleras, empresas de medios, empresas minoristas, proveedores de software y organizaciones tecnológicas también han aumentado en los últimos 12 meses.

Ransomware en acción

Para ilustrar cómo funciona el ransomware, el informe de Barracuda destaca los ataques contra tres empresas diferentes.

sustancia negra

En un incidente de agosto de 2023, los atacantes del grupo de ransomware BlackMatter enviaron a una organización un correo electrónico de phishing diseñado para comprometer las cuentas de los empleados. Con el acceso a la red, los delincuentes pueden escanear y moverse lateralmente dentro de la red, instalar herramientas de piratería y robar datos confidenciales.

Después de recibir una demanda de rescate en septiembre de 2023, la empresa se puso en contacto con su proveedor de alojamiento, quien recurrió a Barracuda en busca de ayuda. Después de poner en cuarentena el sistema infectado y restablecer la contraseña, se vuelve a crear una imagen del sistema cifrado desde la copia de seguridad. La empresa pudo negociar el rescate a la mitad de la demanda original, pero los atacantes aún filtraron los datos robados.

karakut

En un incidente de octubre de 2023, Karakurt Data Extortion Group lanzó un ataque de fuerza bruta en la página de inicio de sesión de VPN de una organización. El ataque ayudó a los ciberdelincuentes a comprometer varios controladores de dominio y usar RDP para acceder a los sistemas infectados. Al mes siguiente, los atacantes comenzaron a modificar las reglas del firewall.

Tras la demanda de rescate de enero de 2023, Barracuda descubrió y bloqueó los indicadores de compromiso (IOC), restableció las cuentas de las víctimas y creó reglas especializadas de gestión de eventos e información de seguridad (SIEM). Aún así, los datos robados se filtraron en línea en febrero.

cerrar

En otro incidente, los atacantes del grupo de delitos cibernéticos LockBit pudieron usar credenciales robadas para iniciar sesión en la página de inicio de sesión de VPN de una empresa sin MFA. Usando scripts maliciosos de PowerShell e instalando archivos DLL (bibliotecas de enlaces dinámicos) a nivel del sistema, los ciberdelincuentes robaron más credenciales y obtuvieron acceso a contraseñas clave.

Los atacantes también comprometieron una PC con Windows 7, para la cual Microsoft ya no admite actualizaciones de seguridad. Después de recibir una demanda de rescate, la empresa buscó ayuda, lo que resultó en la cuarentena de archivos sospechosos y la reconstrucción de Active Directory.

Barracuda ofrece consejos para combatir los ataques de ransomware

Los tres incidentes citados en el informe tienen algo en común. Estos ataques duran meses, no solo una semana o un día. Las VPN siempre son un objetivo popular porque pueden llevar fácilmente a los atacantes a activos web críticos y las credenciales se roban mediante ataques de phishing o se compran en la web oscura.

VER: Capacite a algunas de las principales certificaciones de seguridad cibernética de la actualidad por $ 39 (Academia Tecnopedia)

Las credenciales de la cuenta de correo electrónico vinculadas a Microsoft 365 para el inicio de sesión único son convenientes, pero si se ven comprometidas, pueden abrir las puertas a la red corporativa.

Para ayudar a las organizaciones a combatir este tipo de ataques de ransomware, Barracuda ofrece algunos consejos.

  • Deshabilitar macros: Para evitar ciertos tipos de malware, deshabilite las secuencias de comandos de macro en los archivos de Microsoft Office enviados por correo electrónico.
  • Segmente su red: asegurarse de que su red esté segmentada reducirá la propagación del ransomware y evitará que los ataques se muevan lateralmente.
  • Deshágase de las aplicaciones no utilizadas o no autorizadas: Revise y elimine cualquier software no autorizado que pueda usarse para intrusiones, prestando especial atención a los escritorios remotos y los programas de monitoreo remoto.
  • Servicios mejorados de protección de aplicaciones web y API: Para proteger sus aplicaciones web de piratas informáticos y bots maliciosos, asegúrese de habilitar los servicios de protección correctos, incluidos aquellos que protegen contra ataques de denegación de servicio distribuido (DDoS).
  • Ver credenciales y controles de acceso para respaldo: Las credenciales de la cuenta para las copias de seguridad fuera de línea y basadas en la nube deben ser diferentes de las de los sistemas normales.

LEER  Cómo encontrar el mejor cliente de correo electrónico para su Chromebook

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba