La empresa de seguridad en la nube informó el martes sobre uno de los pagos de ransomware más grandes que se ha hecho público Escalador Z.
El pago de 75 millones de dólares realizado al grupo de ransomware Dark Angels fue descubierto por la rama de investigación de seguridad de Zscaler, ThreatLabz, a principios de este año, según el informe anual sobre ransomware de la compañía, que cubre un período de abril de 2023 a abril de 2024.
Zscaler no reveló el nombre de la empresa que pagó el rescate.
“Dark Angels opera de manera diferente a la mayoría de los otros grupos de ransomware”, observó el director de inteligencia de amenazas de Zscaler, Brett Stone-Gross.
“En lugar de subcontratar los ataques a filiales, están lanzando los ataques y haciéndolo a una escala mucho menor”, dijo a TechNewsWorld. “En lugar de apuntar a docenas o cientos de empresas, están atacando a empresas muy grandes una a una”.
El grupo también se aparta del modus operandi de la mayoría de sus pares en otro sentido. “Roban una gran cantidad de datos, pero quieren evitar interrumpir el negocio”, dijo Stone-Gross. “Quieren mantenerse fuera de los titulares porque eso reduce la cantidad de escrutinio que recibirán de las autoridades y los investigadores”.
La estrategia del grupo de ransomware Dark Angels de apuntar a un pequeño número de empresas de alto valor para obtener grandes pagos es una tendencia que vale la pena monitorear, señaló el informe.
Zscaler ThreatLabz predijo que otros grupos de ransomware tomarán nota del éxito de Dark Angels y podrían adoptar tácticas similares. Para maximizar sus ganancias financieras, se centrarán en objetivos de alto valor y aumentarán la importancia del robo de datos.
El robo de datos ya se ha convertido en parte del plan de juego de muchos actores de ransomware, agregó Steve Stone, director de Zero Labs en Rúbricauna empresa global de software de seguridad y copia de seguridad de datos. “Los actores del ransomware no solo cifran entornos y piden un rescate”, dijo a TechNewsWorld. “Lo hacen y roban datos para poder realizar una demanda de extorsión. Es efectivamente un doble rescate”.
Amenaza creciente
Zscaler también informó que el número de ataques de ransomware bloqueados por su nube aumentó un 17,8% durante el período del informe, y el número de empresas extorsionadas en sitios de filtración de datos creció un 57,8% en el mismo período, a pesar de numerosas operaciones de aplicación de la ley, incluida la incautación de infraestructura, arrestos, acusaciones penales y sanciones.
Chris Morales, CISO en Enriquecimiento netoun proveedor de servicios de centros de operaciones de seguridad en San José, California, identificó varios factores que contribuyen al crecimiento del ransomware. Entre ellos, se incluyen superficies de ataque ampliadas debido al trabajo remoto y la adopción de la nube, ataques de ransomware más sofisticados que a menudo implican la exfiltración de datos y la democratización de las herramientas de ataque a través del ransomware como servicio.
“También estamos viendo infracciones a gran escala que afectan a millones de usuarios a la vez”, dijo a TechNewsWorld. “Este aumento no solo resalta la necesidad urgente de un cambio de paradigma en las operaciones de seguridad, sino que también subraya la necesidad de una acción inmediata, avanzando hacia estrategias más proactivas y basadas en datos”.
“Esperamos que las infracciones y los ataques de ransomware sigan aumentando en la segunda mitad de 2024, especialmente dirigidos a la atención médica, la fabricación, la infraestructura crítica y las cadenas de suministro”, agregó Stephen Kowski, director de tecnología de campo de BarraSiguienteuna empresa de seguridad informática y de redes en Pleasanton, California.
“Los recientes incidentes de alto perfil, como los ataques a proveedores de atención médica y concesionarios de automóviles, ponen de relieve las vulnerabilidades actuales”, dijo a TechNewsWorld. “Para combatir esto, las organizaciones deben centrarse en fortalecer la seguridad del correo electrónico, implementar arquitecturas de confianza cero y mejorar las capacidades de detección y respuesta ante amenazas”.
Principales objetivos del sector
Según el informe, los sectores manufactureros, de atención médica y tecnológicos fueron los principales objetivos de los ataques de ransomware, mientras que el sector energético experimentó un aumento interanual del 500% debido a que la infraestructura crítica y la susceptibilidad a las interrupciones operativas lo hacen particularmente atractivo para los ciberdelincuentes.
Entre los principales objetivos de la extorsión cibernética, el sector manufacturero encabezó la lista: fue objeto de ataques con más del doble de frecuencia que cualquier otro sector.
“Muchas organizaciones de fabricación existen desde hace mucho tiempo y hay muchos hábitos heredados que no les resultan útiles cuando se trata de ransomware”, señaló Stone de Zero Labs.
Marcus Fowler, director ejecutivo de Rastro oscuro Federal, una empresa global de inteligencia artificial en ciberseguridad, explicó que los proveedores de infraestructura crítica y las empresas de fabricación buscan cada vez más la convergencia de la tecnología de la información y la tecnología operativa, ya que los beneficios de la recopilación y el análisis de datos pueden mejorar drásticamente la eficiencia de la producción, el mantenimiento y la escalabilidad.
“Con la convergencia de TI/OT expandiendo las superficies de ataque, el personal de seguridad tiene mayores cargas de trabajo que dificultan seguir el ritmo de las amenazas y vulnerabilidades”, dijo a TechNewsWorld.
“La industria manufacturera ha estado experimentando una importante digitalización para volverse más ágil y eficiente”, agregó Rogier Fischer, CEO de Adrianoel fabricante de una solución de escaneo automatizado basado en eventos en Ámsterdam.
“La desventaja es que los procesos que antes estaban aislados ahora están conectados a los sistemas de TI corporativos”, dijo a TechNewsWorld. “La interconectividad de los entornos de OT y TI, junto con la industria manufacturera, históricamente menos consciente de los problemas cibernéticos, hace que el sector sea un objetivo atractivo”.
La necesidad de la confianza cero
El director de seguridad de Zscaler, Deepen Desai, sostiene que la defensa contra el ransomware sigue siendo una prioridad para los CISO en 2024. «El uso cada vez mayor de modelos de ransomware como servicio, junto con numerosos ataques de día cero en sistemas heredados, un aumento en los ataques vishing y la aparición de ataques impulsados por IA, ha llevado a pagos de rescates récord», dijo en un comunicado.
“Las organizaciones deben priorizar la arquitectura de confianza cero para fortalecer su postura de seguridad contra los ataques de ransomware”, agregó Desai.
Fischer señaló que la confianza cero es parte de un cambio de mentalidad. “Se trata de pasar de una actitud reactiva, ‘¿cómo puedo detectar un ataque en curso?’ o ‘¿cómo puedo responder a un incidente?’, a una actitud proactiva, ‘¿cómo puedo mantener alejados a los actores maliciosos?’. La confianza cero y los principios de seguridad ofensiva ayudan a las organizaciones a mitigar el riesgo cibernético de manera proactiva”.
La priorización y la inversión en ciberseguridad antes de un ataque cibercriminal son fundamentales para las organizaciones de todos los tamaños, agregó Anne Cutler, evangelista de ciberseguridad en Seguridad del guardiánuna empresa de gestión de contraseñas y almacenamiento en línea en Chicago.
“Un modelo de seguridad de confianza cero con acceso con privilegios mínimos y copias de seguridad de datos sólidas limitará el radio de acción si se produce un ciberataque”, dijo a TechNewsWorld. “Además, una sólida gestión de identidades y accesos en la interfaz ayudará a prevenir los ciberataques más comunes que pueden provocar una filtración de datos desastrosa”.
Sin embargo, Steve Hahn, vicepresidente ejecutivo para las Américas de Muro de torosun proveedor de soluciones de contención, protección y mitigación de ransomware en Dinamarca, advirtió que si bien la confianza cero ciertamente reducirá las posibilidades de un ataque, el camino suele ser muy largo para los clientes y aún no es una solución milagrosa.
“Los ataques de día cero, la TI en la sombra, los dispositivos personales, los dispositivos IoT, todos estos son vectores de ataque para el ransomware”, dijo a TechNewsWorld, “y una vez que el cifrado comienza en las unidades compartidas, ya sean en la nube o locales, es solo cuestión de tiempo antes de que todos los datos estén cifrados, incluso con una arquitectura de red de confianza cero implementada”.
GIPHY App Key not set. Please check settings