Los volúmenes de ataques de ransomware registrados aumentaron un 19 % durante octubre de 2024 hasta un total de 468 incidentes en todo el mundo, un número significativo de ellos en EE. UU., donde las controvertidas elecciones presidenciales probablemente animaron a los actores de amenazas de habla rusa a atacar, según el último informe mensual de NCC Group. Pulso de amenaza informe.
Aunque aún no se conoce completamente la magnitud del intento de interferencia estatal rusa en el proceso electoral de EE. UU., el jefe de inteligencia de amenazas del NCC, Matt Hull, dijo que no era una sorpresa que en las últimas semanas antes de las elecciones del 5 de noviembre se observaran cantidades crecientes de actividad de amenazas. .
“Las motivaciones geopolíticas, como las elecciones estadounidenses, demostraron que los estados nacionales como Rusia siguen teniendo una gran influencia en los volúmenes globales de ciberataques”, dijo.
“Los datos muestran que estamos siendo testigos de una dinámica cambiante en el panorama de amenazas, con una colaboración cada vez mayor entre los estados nacionales y los grupos del crimen organizado”, dijo Hull. “A medida que los diferentes actores de amenazas aprovechan los recursos de los demás, es crucial que las organizaciones se aseguren de estar al tanto de las prácticas de seguridad fundamentales, como la gestión de contraseñas, la seguridad de los terminales y la autenticación multifactor”.
De hecho, desglosados por geografía, la región de América del Norte (que también incluye países como Canadá y México) representó 272, o el 56%, de los ataques de ransomware registrados. En comparación, 97 ataques, el 20%, afectaron a organizaciones en Europa, por lo que, en total, más de las tres cuartas partes de todos los ataques de ransomware observados el mes pasado se dirigieron a estas dos regiones.
Por supuesto, esto no excluye al resto del mundo, y un ataque en particular demostró acertadamente la aparente confusión de las líneas entre los Estados nacionales y los criminales organizados. Este fue un incidente en el que los sistemas del gigante japonés de la electrónica Casio quedaron paralizados por el ransomware Underground, que está vinculado al grupo cibernético ruso Storm-0978, o RomCom.
El ataque de doble extorsión tuvo como objetivo datos de empleados, candidatos a puestos de trabajo y socios comerciales, y provocó interrupciones e interrupciones en el servicio. Probablemente comenzó a través de CVE-2023-36884, una vulnerabilidad de ejecución remota de código en Microsoft Office que se sabe que fue atacada por actores estatales rusos; y según NCC, se cree que RomCom es una de varias bandas que llevan a cabo ataques en nombre del Kremlin.
NCC dijo que la creciente tensión geopolítica entre Rusia y Japón añadió una capa “convincente” al incidente. Se cree que Rusia, que ha controlado la isla de Sakhalin (parte de la tierra ancestral del pueblo indígena ainu de Japón) y las cercanas islas Kuriles desde el final de la Segunda Guerra Mundial, está preocupada por la creciente colaboración militar de Japón con la alianza de la OTAN. y Moscú protestó por un reciente ejercicio militar conjunto, Keen Sword 2024, entre Estados Unidos y Japón.
“Estas actividades militares y la postura de defensa reforzada de Japón pueden haber contribuido a un aumento de las tácticas agresivas por parte de entidades cibernéticas afiliadas a Rusia”, escribieron los autores del informe.
“Los ataques a empresas japonesas podrían servir como una forma de presión o represalia, señalando el descontento de Rusia con las estrategias de defensa de Japón. Al atacar a empresas japonesas clave, Rusia, a través de grupos cibercriminales afiliados, podría intentar perturbar la estabilidad económica y proyectar poder sin una confrontación militar abierta.
“La situación muestra la complejidad de la guerra cibernética moderna, donde las empresas criminales y los actores respaldados por el Estado podrían perseguir objetivos tanto financieros como estratégicos… Como tal, las empresas deberían abarcar una variedad de amenazas, tradicionales y respaldadas por el Estado, en su estrategia de defensa”.
RansomHub ocupa el primer puesto
En cuanto a los operadores de ransomware más prolíficos, fue RansomHub el que continuó su dominio como banda más activa en octubre, asumiendo la responsabilidad de 68 ataques, aunque esta cifra disminuyó un poco respecto al mes anterior.
El segundo lugar lo ocupó Play, que realizó alrededor de 55 ataques; seguido de Killsec, con entre 30 y 40; Sarcoma, con unos 30; y Meow, con unos 25.
El resto de las 10 operaciones más activas el mes pasado fueron Fog, Hunters, ElDorado, Medusa y BlackSuit.
En general, el sector industrial, que incluye a los operadores de infraestructura nacional crítica (CNI), siguió siendo el más atacado, representando 148, o el 30%, de los ataques observados. Le siguió el sector de consumo discrecional (minorista), con 100 ataques; y el sector de la salud representó 55.
“Como lo demuestra el enfoque en CNI, los ataques son cada vez menos aleatorios y más dirigidos a organizaciones que experimentarán el máximo impacto”, dijo Hull.
“Aquellos que dependen del ‘tiempo de actividad’ y poseen grandes cantidades de propiedad intelectual o información de identificación personal son objetivos de alto valor”.