Actualmente hay una media de un ataque Ransomware cada 11 segundos, pues la estimación para el 2031 no es nada optimista, se esperan que sea cada dos segundos.
Ataque Ransomware cada dos segundos en 2031
En el interesante documental de TV3 “El segrest invisible” se expone la grave problemática de diferentes empresas y organizaciones que ya han sido atacadas por Ransomware. Ataques informáticos que literalmente pueden “matar” a una empresa.
El grupo de cibercriminales Conti es uno de los más activos. Esta organización introdujo la variante de Ransomware más activa del mercado en 2021 con un 15%.
Según informes de “Cybersecurity Ventures”, Conti recibió la mayor cantidad de pagos por rescates (US$13 millones). El coste medio de una brecha de seguridad originada por un Ransomware fue de US$4.6 millones.
Por otra parte, según Oliver Tavakoli, CTO de Vectra AI, sus estudios recientes revelan que el 71% de las empresas españolas sufrieron un ataque de Ransomware durante 2021, frente al 44% en 2020.
En estos estudios de Vectra AI indican que el 72% de los encuestados en España creen que es posible o probable que hayan sido atacados sin ser conscientes de ello, el 83% ha experimentado un evento de seguridad significativo que requirió un esfuerzo de respuesta a incidentes, y el 48% no confía plenamente en que sus herramientas de seguridad les protejan contra ataques sofisticados.
El problema con la nube
Oliver Tavakoli, explica que no hace mucho tiempo, las redes locales estaban muy abiertas a los atacantes, por lo que este ha sido un punto a tener en cuenta. Ahora, el tráfico de los empleados accede predominantemente a las aplicaciones a través de Internet. Esto significa que hay que examinar los registros de plataformas en la nube como Amazon Web Services (AWS), Azure y Google Cloud Platform (GCP), sistemas de identidad en la nube como Azure AD y Okta y aplicaciones de colaboración como Microsoft 365 y Google Workspace.
INCIBE ha gestionado más de 109.122 incidentes de ciberseguridad durante 2021. Del total de esta cifra, 90.168 afectaron a ciudadanos y empresas, 680 a operadores estratégicos y 18.278 a la Red Académica y de Investigación Española (RedIRIS). En cuanto a su tipología, el 29,88% correspondió a malware o software malicioso, seguido de las distintas variantes de fraude con un 28,60%. En tercer lugar, destacan los ataques a sistemas vulnerables, con un 18,89%, ya que el trabajo desde casa durante la pandemia hizo que más personas fueran vulnerables a los ataques en línea.
Una historia común es que la pandemia impulsó a las empresas a pasar a configuraciones de nube múltiple o híbrida, no por una gran estrategia sino por una necesidad apremiante. Como resultado, servicios como Microsoft 365 o las plataformas de comercio electrónico se implementaron rápidamente, sin tener en cuenta el impacto en la infraestructura o la seguridad. Además, las diferentes unidades de negocio o departamentos a menudo evolucionaban en diferentes direcciones, añadiendo capas de complejidad.
Ransomware en la nube
El paso a la nube ha dejado algunas puertas de entrada para que los ciberdelincuentes las aprovechen, y ya están empezando a sacar el máximo provecho de ello. En las instalaciones, si un ciberdelincuente quiere cifrar los datos de una empresa, debe pasar por el laborioso ejercicio de conectarse a un servidor, extraer todos los datos a través de la red, cifrarlos y escribirlos de nuevo en el servidor, y finalmente borrar la copia original.
Para tener éxito, los operadores de Ransomware intentan introducir sus ganchos en tantos lugares como sea posible y cifrar la mayor cantidad de datos posible. En la nube, los operadores de Ransomware pueden aprovechar el cifrado del lado del servidor proporcionado en las plataformas de la nube, lo que les permite cifrar los datos mucho más rápido y sin necesidad de hacer un gran esfuerzo.
Según Oliver Tavakoli, considera que una nube como AWS o Azure tiene dos superficies de ataque diferentes.
- Está la superficie de ataque tradicional, en la que los atacantes pasan por la red para atacar una carga de trabajo que se ejecuta en la nube, escapan de la carga de trabajo y luego roban datos.
- Y está el plano de gestión o el plano de control de una plataforma en la nube, que representa un conjunto de controles más potente y menos conocido.
La evolución del Ransomware
Por desgracia, a medida que los valiosos datos de los clientes se trasladan a la nube, también lo hará el Ransomware. Por eso, Oliver Tavakoli se plantea preguntas como: ¿Qué aspecto tiene la combinación de la nube y el Ransomware, con qué rapidez los atacantes se convertirán en compatibles con la nube y qué medidas se deberán tomar?
Hay que analizar cómo podemos protegernos contra el Ransomware en los sistemas en la nube y por qué esto es sustancialmente diferente a las medidas defensivas requeridas para los lugares de trabajo físicos.
Con todas estas cuestiones Oliver Tavakoli espera animar a los responsables de la seguridad (CISOs) a tender un puente entre el mundo de la seguridad y el de la empresa para que se pueda dar prioridad a las inversiones y se pueda proteger nuestra infraestructura.
Para finalizar este post sobre el futuro del Ransomware, os dejamos con una masterclass de una hora sobre la mitigación del Ransomware de Roger Grimes de KnowBe4 Inc.
