Los grupos de ransomware continúan actualizando sus herramientas y técnicas para la ampliación de sus objetivos y una extracción de datos eficiente. A principios de este año, apareció Mimic para explotar la herramienta de búsqueda legítima Everything y consultar extensiones y nombres de archivo a fin de determinar qué archivos cifrar y evitar. Mientras tanto, el ransomware Royal ha ampliado sus objetivos con una actualización que señala a las plataformas Linux.

Nuestras investigaciones sobre Royal y Mimic sugirieron conexiones con el grupo de ransomware Conti, más grande y de peor reputación, mientras que en nuestra investigación sobre TargetCompany quedaron demostrados sus vínculos con otras familias de ransomware como BlueSky y GlobeImposter. Estas conexiones son coherentes con nuestros conocimientos sobre la revolución del ransomware, sobre cómo las colaboraciones podrían derivar en costes más bajos y una mayor presencia en el mercado, manteniendo, al mismo tiempo, la eficacia de las actividades delictivas.

Mientras tanto, los beneficios financieros podrían no ser el único motivador para los grupos ransomware, ya que las entidades gubernamentales podrían ofrecer oportunidades de contratación a los operadores, en lugar de enjuiciarlos. En nuestro informe de mayo sobre el backdoor RomCom, analizamos el uso histórico del backdoor en ataques por motivos geopolíticos contra Ucrania desde al menos octubre de 2022, lo que sugiere un cambio en los objetivos de Void Rabisu. Los ataques recientes de ransomware ahora son comparables con los grupos APT en términos de habilidades, enfoque y capacidades de ataque.

Los agentes de ransomware que permanecen en TI por dinero también pueden orientar sus esfuerzos de exfiltración de datos hacia el robo de criptomonedas, ataques Business Email Compromise (BEC) y desplegar esquemas cortos y distorsionados para la manipulación del mercado de valores. La criptomoneda también ha hecho que los esquemas de pago sean más eficientes a favor de los agentes de amenazas, subrayando la demanda de realizar pruebas en fases tempranas (lo que significa implementar tantas medidas como sea posible para bloquear la entrada de amenazas en la red en primer lugar) al prever ataques relacionados con ransomware que desencadenan la extorsión solo después de obtener acceso y exfiltrar datos.

El índice de riesgo cibernético (CRI) disminuyó a un rango moderado con una puntuación de +0,01 en la segunda mitad de 2022, según una encuesta a más de 3700 empresas en cuatro regiones. Sin embargo, los detalles de nuestro informe indican que el CRI de América del Norte es el más elevado entre las regiones (-0,10), con un índice de preparación cibernética que ha empeorado de 5,30 a 5,29 y un índice de ciberamenaza que cae de 5,63 a 5,39. En cuanto a los avisos de vulnerabilidad, se publicaron 894 en el primer semestre de 2023, solo 50 menos que los publicados en el primer semestre del año anterior.

Mientras tanto, los agentes de amenazas lanzan una red más amplia al aprovechar las vulnerabilidades en plataformas más pequeñas para objetivos más específicos, como el servicio de transferencia de archivos MOVEit, el software de comunicaciones empresariales 3CX y la solución de software de gestión de impresión PaperCut. En junio, el ransomware Clop aprovechó una vulnerabilidad en MOVEit para comprometer la seguridad de varias agencias gubernamentales en los Estados Unidos, el Departamento de Energía, los sistemas universitarios de varios estados y varias empresas privadas.

En mayo, Google lanzó ocho nuevos dominios de nivel superior (TLD), incluidos .zip y .mov. Esto puede presentar riesgos de seguridad cuando los cibercriminales los exploten para ocultar URL maliciosas detrás de sitios web legítimos para la entrega de malware y otros ataques, una técnica probada y comprobada que sigue siendo efectiva en la actualidad.

Si bien las innovaciones continúan evolucionando e implican más datos, los agentes de amenazas están encontrando más formas de victimizar a las personas. Por ejemplo, los automóviles conectados de hoy en día contienen más de 100 millones de líneas de código, lo que brinda funcionalidad inteligente al usuario pero también abre puertas a los piratas informáticos. A medida que más coches inteligentes saturen el mercado, los atacantes intentarán obtener acceso a los datos de la cuenta de usuario y aprovecharlos para sus delitos.

Estas amenazas subrayan la necesidad de una gestión proactiva del riesgo cibernético que ponga en práctica elementos de una estrategia de confianza cero y visibilidad y evaluación continuas durante todo el ciclo de vida del riesgo, que comprendería el descubrimiento, la evaluación y la mitigación. Las inversiones en ampliar la detección y respuesta darían como resultado suficientes datos, análisis e integraciones a partir de los cuales los equipos de seguridad y los investigadores pueden obtener información sobre la actividad de amenazas y el grado de eficacia de las defensas.