El año pasado, el 54% de las empresas experimentaron un ataque exitoso que comprometió sus datos o infraestructura de TI. Con el malware evolucionando a un ritmo vertiginoso, mantenerse al frente del panorama de amenazas nunca ha sido más difícil.
Para complicar aún más las cosas, en la primera mitad de 2018, los investigadores de Barkly notaron varios cambios fundamentales en las tácticas de cibercrimen. Estos cambios han tenido implicaciones importantes para los tipos de ataques que los delincuentes están lanzando, y esperamos que continúen influyendo en las campañas de ataque durante el resto de 2018.
Estos son tres de los ejemplos más importantes que hemos identificado como parte de nuestra investigación en curso sobre las campañas de cibercrimen y malware en Barkly.
- Los delincuentes se dan por vencidos con el ransomware.
¿Qué está cambiando?
Las empresas que han pasado los últimos dos años priorizando los esfuerzos defensivos contra el ransomware pueden sorprenderse al enterarse de que la mayoría de los delincuentes han pasado a ataques más silenciosos y sigilosos que son muy difíciles de prevenir. Una vez que la carga útil más popular, las infecciones por ransomware han disminuido significativamente. En octubre de 2018, el ransomware se clasificó como el sexta carga útil más prevalente , detrás de mineros, troyanos bancarios, adware, puertas traseras y spyware.
¿Por qué la caída dramática? Hay una variedad de factores en juego , pero la respuesta más simple es que, después de un auge inicial, muchos delincuentes acudieron al ransomware como una forma de enriquecerse rápidamente, solo para descubrir que no había suficientes víctimas dispuestas o capaces de pagar. Eso no quiere decir que el ransomware haya desaparecido por completo, pero las campañas de ataque que aún están activas tienden a centrarse más en industrias específicas como la salud, la educación y el gobierno local, o se lanzan desde un número cada vez más consolidado de «ransomware-as -a-service ” operadores (más sobre los siguientes).
Lo que significa para las pequeñas empresas:
Invertir en copias de seguridad puede haber ayudado a cambiar el rumbo contra el ransomware al proporcionar a las víctimas una alternativa al pago, pero no hizo nada para abordar el problema subyacente de las empresas que se ven fácilmente comprometidas en primer lugar. Las copias de seguridad no evitan que los atacantes roben información confidencial o agoten recursos. Ahora que el ransomware ha sido reemplazado por troyanos bancarios y mineros, uno de los grandes peligros es que las pequeñas empresas con presupuestos limitados pueden estar asumiendo que las copias de seguridad son un sustituto adecuado para la protección real.
Además, el cambio a cargas útiles más sigilosas significa que las empresas ya no pueden confiar en el malware para informarles que han sido infectadas. Los troyanos, mineros y puertas traseras están diseñados para combinarse con la actividad normal del sistema y evitar la detección durante el mayor tiempo posible. Eso cambia completamente el juego para los profesionales de TI y seguridad. Ya no necesitan la capacidad de aislar y recuperarse rápidamente de ataques obvios; ahora necesitan la capacidad de detectar y bloquear preventivamente actividades maliciosas evasivas que de otro modo pasarían desapercibidas.
- Servicios de malware es donde está el dinero.
¿Qué está cambiando?
Mientras que otros ciberdelincuentes buscan formas alternativas de monetizar con éxito sus ataques ahora que el pozo de ransomware se está agotando, algunos grupos han impulsado sus modelos de negocio de tomar dinero de las víctimas para actuar como proveedor de otros delincuentes. Tomemos, por ejemplo, Emotet . Anteriormente un troyano bancario independiente, ahora opera principalmente como un descargador para otros troyanos bancarios, y el negocio está en auge. Según los investigadores de Proofpoint , Emotet representó un tercio de todas las cargas maliciosas en el primer trimestre de 2018.
En el frente del ransomware, una de las cepas más frecuentes últimamente es GandCrab , una ransomware como servicio (RaaS) que permite a los delincuentes crear y personalizar sus propias variantes a cambio del 30-40% de las ganancias.
Lo que significa para las pequeñas empresas:
A medida que más delincuentes cambian a proporcionar plataformas de servicios de malware, la competencia resultante está alimentando una carrera armamentista.
Los proveedores de servicios de malware sienten una presión constante para proporcionar más características y funcionalidades mientras se mantienen un paso por delante de las soluciones de seguridad. GandCrab y el compañero de la operación RaaS DBGer son dos ejemplos principales.
Anteriormente llamado Satan, los desarrolladores de DBGer han realizado mejoras continuas en el código y el conjunto de características del ransomware, agregando varios movimientos laterales y capacidades de autopropagación.
La iteración rápida es el nombre del juego para GandCrab y otras operaciones similares, y eso desafortunadamente significa que las pequeñas empresas corren el riesgo de quedarse aún más atrás. Los líderes de TI de las pequeñas empresas deben mantenerse informados y asegurarse de que su protección de punto final pueda seguir el ritmo al adaptarse junto con amenazas cada vez más ágiles.
ALD/ACD
