Seguridad

Los ataques de ransomware aumentaron un 91 % en marzo a medida que los actores de amenazas descubren nuevas vulnerabilidades

0 0 4 minutos de lectura
An upset person looking at multiple screens that say ransomware.

Los ataques de ransomware aumentaron el mes pasado, según el último informe mensual de ciberseguridad del NCC Group. Un nuevo grupo de amenazas, Cl0p, está detrás del crecimiento, ya que explota una vulnerabilidad en el administrador de transferencia de archivos GoAnywhere.

Una persona molesta mira múltiples pantallas que muestran ransomware.Imagen: zephyr_p/Adobe Stock

Según el equipo de inteligencia de amenazas global de NCC Group, ha habido un aumento en los ataques de ransomware. En su informe mensual de amenazas, NCC Group informó que los ataques de ransomware de marzo aumentaron un 91 % con respecto a febrero y un 62 % con respecto al año anterior, la mayor cantidad de ataques de ransomware mensuales jamás medidos por el grupo (Figura A).

Figura A

Ataques de ransomware en 2023 y 2022.Imagen: Grupo NCC. Ataques de ransomware en 2023 y 2023.

El proveedor de ransomware como servicio Cl0p fue el actor de amenazas más activo, representando el 28 por ciento de todas las víctimas en marzo. Según NCC Group, esta es también la primera vez que Cl0p se convierte en uno de los principales RaaS para los grupos de ciberdelincuentes.

Cl0p es una entidad vinculada a Rusia que se especializa en la doble extorsión, extrayendo datos y luego amenazando con liberarlos si no se paga el rescate. El grupo de piratas informáticos existe desde 2023, cuando atacó con éxito a las principales empresas como Hitachi, Shell y varias otras empresas.

LockBit 3.0 quedó en segundo lugar, representando el 21 por ciento de los ataques. Según NCC Group, marzo de 2023 será el segundo mes desde septiembre de 2023 que LockBit ya no es el principal actor de amenazas de ransomware. Según el NCC, el grupo tuvo un 25 por ciento menos de víctimas que en febrero.

LEER  La actualización de la aplicación 2FA de Google carece de cifrado de extremo a extremo, según los investigadores

Ver: real Engaño – Threatmaker Promises Challenge 2023

Publicaciones relacionadas

Royal, un grupo de ataque no alineado dirigido a la industria de la salud que surgió en septiembre pasado, fue el tercer atacante más activo, con ataques en marzo que aumentaron un 106 % con respecto a febrero (Figura B).

Figura B

Principales actores de amenazas en marzo de 2023. Imagen: Grupo NCC. Principales actores de amenazas en marzo de 2023.

Cl0p ataca organizaciones que utilizan la vulnerabilidad GoAnywhere MFT

NCC Group dijo que el aumento en los ataques CL0p reflejó su explotación de una vulnerabilidad en la transferencia de archivos alojada GoAnywhere de Fortra, que es utilizada por miles de organizaciones en todo el mundo, lo que provoca interrupciones masivas.

Informes de seguridad de lectura obligada

Según se informa, Fortra descubrió la vulnerabilidad de día cero en enero y solo informó a sus usuarios autenticados, pero no se le asignó una ID de CVE ni se parcheó en Mitre hasta principios de febrero.

Proteja su organización con GoAnywhere MFT

Según NCC Group, existen algunas estrategias viables para prevenir los ataques de Cl0p y otros desarrolladores de herramientas y servicios de terceros:

  • Limite la exposición en los puertos 8000 y 8001 donde reside el panel de administración de GoAnywhere MFT.
  • Una vez que haya iniciado sesión en GoAnywhere, siga los pasos descritos en el Boletín de seguridad de GoAnywhere.
  • Instale el parche 7.1.2.
  • Compruebe si hay actividad sospechosa en las cuentas de usuario administrador, prestando especial atención a las cuentas creadas por el sistema, los tiempos de creación de cuentas sospechosos o atípicos, o los superusuarios deshabilitados que crean varias cuentas.
  • Comuníquese con el soporte de GoAnywhere MFT directamente a través del portal web, correo electrónico o teléfono para obtener asistencia adicional.

VER: Las plataformas de correo electrónico cifrado de extremo a extremo pueden frustrar el ataque.

En América del Norte, el sector industrial es una diana doble

área

Repitiendo la tendencia del análisis del mes pasado, América del Norte tuvo casi la mitad de la actividad de marzo, con 221 víctimas (48%). Le siguieron Europa (28%) y Asia (13%) con 126 y 59 ataques respectivamente.

departamento

Industrial fue, con mucho, el sector más atacado, con 147 ataques en el último mes, lo que representa el 32% del total. Los valores cíclicos de consumo ocuparon el segundo lugar con 60 avisos (13 %), seguidos de las acciones tecnológicas, que recuperaron el tercer lugar con 56 avisos (12 %).

En el campo industrial:

  • Las víctimas en servicios profesionales y empresariales aumentaron un 120%.
  • Los ataques a maquinaria, herramientas, vehículos pesados, trenes y barcos aumentaron un 127%.
  • Los ataques al sector de la construcción y la ingeniería aumentaron un 16% (Figura C).

Figura C

Las 10 principales industrias a las que apuntar para marzo de 2023.Imagen: Grupo NCC. Las 10 principales industrias a las que apuntar para marzo de 2023.

El ritmo de los ataques de ransomware puede seguir siendo rápido

Matt Hull, director de inteligencia de amenazas globales de NCC Group, dijo que es probable que el pico de ataques de ransomware del mes pasado coincida con el de este año. «si [Cl0p’s] Las acciones siguen siendo constantes y podemos esperar que sigan siendo una amenaza frecuente durante todo el año. Estamos siguiendo de cerca el desarrollo del elenco”, dijo.

La compañía informó anteriormente que enero y febrero tuvieron la mayor cantidad de casos de ransomware en comparación con los últimos 3 años.

Cómo defenderse contra las amenazas aceleradas de ransomware

Es probable que los ataques aumenten este año, sugiere el Grupo NCC:

  • Descubra si las vulnerabilidades recientemente anunciadas afectan a su organización y conozca sus sistemas y configuraciones.
  • Parche a menudo. El hecho de que Log4j todavía esté activo muestra cómo un CVE sin parches proporciona una puerta abierta.
  • Bloquee las formas comunes de entrada: tenga un plan sobre cómo deshabilitar rápidamente los sistemas riesgosos como VPN o RDP.
  • Revise los paquetes de seguridad de puntos finales para detectar vulnerabilidades y malware.
  • Cree copias de seguridad fuera de línea y fuera del sitio, fuera del alcance de los atacantes.
  • Darse cuenta: los atacantes regresan a la misma víctima cuando saben que la vulnerabilidad no ha sido reparada.

Si se ve comprometido y el brote se pone en cuarentena y se detiene, todos los rastros de sus intrusiones, malware, herramientas y métodos de entrada deben eliminarse, evaluarse y actuar para evitar un nuevo compromiso.

0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba