Boris Zhitkov/Getty Images
Los ataques de ransomware alcanzaron niveles récord en julio de 2023, impulsados por la explotación del software MOVEit por parte del grupo de ransomware Cl0p.
En un nuevo informe publicado por el equipo Global Threat Intelligence de NCC Group, los analistas observaron un número récord de ciberataques relacionados con ransomware el mes pasado, con 502 incidentes importantes rastreados. Según los investigadores, esto representa un aumento interanual del 154%, en comparación con los 198 ataques rastreados en julio de 2022.
También: ¿Qué es el ransomware? Todo lo que necesitas saber
Las cifras de julio representan un aumento del 16% con respecto al mes anterior, con 434 incidentes de ransomware registrados en junio de 2023.
NCC Group dice que esta cifra récord se debe, en gran parte, a las actividades de Cl0P, un notorio grupo relacionado con el exploit del software MOVEit.
¿Quién es Cl0p?
Cl0p, también conocido o asociado con Tempestad de encajefue responsable de 171 de 502 ataques en julio, muchos de los cuales se cree que se deben a la explotación del software de transferencia de archivos MOVEit.
También: El ransomware se ha convertido ahora en un problema para todos, y no sólo para la tecnología
Cl0p existe desde 2019 y se conoce como una oferta de ransomware como servicio (RaaS) para los ciberdelincuentes. Cl0p, también conocido como (o asociado con) TA505, ha perseguido agresivamente objetivos de alto valor con el objetivo de extorsionar con pagos elevados de ransomware, y los operadores a menudo roban información antes del cifrado en lo que se conoce como táctica de doble extorsión.
Si las víctimas se niegan a pagar, corren el riesgo de que sus datos robados se publiquen en línea y sean nombrados en un sitio público de filtración.
El exploit MOVEit
Calificado como un “desastre de movimiento lento”, el exploit MOVEit ha impactado a cientos de organizaciones en todo el mundo, con el robo de datos pertenecientes a millones de personas.
En mayo, Progress Software informó una vulnerabilidad de día cero en el servicio de transferencia de archivos, MOVEit Transfer y MOVEit Cloud, que podría provocar privilegios elevados y un posible acceso no autorizado a los entornos de los clientes. El problema es que MOVEit es utilizado por agencias gubernamentales e industrias altamente reguladas, tanto directamente como a través de cadenas de suministro de software.
Además: esta estafa de facturas criptográficas generadas por IA casi me atrapa, y soy un profesional de la seguridad
Entre las presuntas víctimas se incluyen el Departamento de Energía de Estados Unidos, Shell, la BBC, Ofcom, el National Student Clearinghouse y numerosas universidades estadounidenses.
Industrias impactadas
En total, los actores industriales representaron el 31% de los ataques de ransomware o 155 incidentes registrados.
Los actores de la industria incluyen servicios profesionales y comerciales, fabricación, construcción e ingeniería. Según los investigadores, los servicios profesionales y comerciales fueron los más atacados en julio, y las bandas de ransomware Cl0p, LockBit 3.0 y 8Base fueron responsables del 48% de todos los ciberataques registrados.
Si bien estos sectores han sufrido el mayor número de ataques de ransomware en lo que va del año, los cíclicos de consumo ocuparon el segundo lugar, con 79 ataques, o el 16% del total en julio. Esta categoría representa hoteles y entretenimiento, medios, comercio minorista, construcción de viviendas, sector automotriz y más.
Además: Los mejores servicios VPN en este momento: probados y revisados por expertos
Cuando se trata de tecnología, ocupando el tercer lugar con 72 casos (o el 14% de los ataques mensuales), NCC Group dice que esta industria “ha experimentado el mayor aumento en números absolutos en los tres sectores principales este mes”. [and] Es probable que esto se deba a la actividad de Cl0p”.
Cl0p fue responsable de 39 ciberataques contra el sector, o el 54%, y esto incluye ataques contra organizaciones que ofrecen servicios de TI y software, proveedores de semiconductores, electrónica de consumo y servicios de telecomunicaciones.
Grupo NCC
Nuevos grupos de ransomware aparecen en escena
Después de Cl0p, Lockbit 3.0 fue clasificado como el segundo grupo de ransomware más activo en julio, siendo responsable de 50 ataques, o el 10%. Si bien esto representa una disminución del 17% mes a mes, julio también fue un escenario para que actores de amenazas nuevos y renombrados dieran a conocer su presencia.
Por ejemplo, Noescape, que se cree que es un cambio de marca de Avaddon, que cerró después de enviar miles de claves de descifrado a un medio de comunicación en 2021, representó 16 de los ataques registrados, uniéndose a otros como 8Base, BianLian, BlackCat, Play y Cactus.
Además: las redes industriales necesitan una mayor seguridad a medida que los ataques ganan escala
“Muchas organizaciones todavía están lidiando con el impacto del ataque MOVEit de Cl0p, lo que demuestra cuán extensos y duraderos pueden ser los ataques de ransomware: ninguna organización o individuo está a salvo”, Matt Hull, director global de inteligencia de amenazas en Grupo NCC, comentó. “Esta campaña es particularmente significativa dado que Cl0p ha podido extorsionar a cientos de organizaciones comprometiendo un entorno. No sólo debe estar atento a la protección de su propio entorno, sino que también debe prestar mucha atención a los protocolos de seguridad de las organizaciones. con los que trabaja como parte de su cadena de suministro”.