Durante el segundo trimestre del año Cisco respondió a un creciente número de incidentes de extorsión por robo de datos, constituyendo la principal ciberamenaza en dicho período al suponer el 30% del total de interacciones del Centro de Respuesta.
Los ciberdelincuentes roban la información de la víctima y amenazan con filtrarla o venderla a menos que se paguen sumas variables de dinero, lo que elimina la necesidad de implementar ransomware o cifrar los datos. Esto difiere del método de ransomware de doble extorsión, con en el que los adversarios extraen y cifran archivos y exigen un pago para revelar la clave de descifrado.
Así se desprende del último informe trimestral de Cisco Talos, la mayor organización privada de inteligencia frente a ciberamenazas del mundo, que también apunta al ransomware como la segunda amenaza más observada ese trimestre, representando el 17% de las interacciones (10% en el trimestre anterior). Las operaciones de ransomware 8Base y MoneyMessage se observaron por primera vez este trimestre, además de las anteriormente conocidas LockBit y Royal.
Karakurt y RansomHouse, los grupos más activos
La extorsión por robo de datos no es un fenómeno nuevo, pero la cantidad de incidentes de este trimestre sugiere que los actores de ciberamenazas lo ven cada vez más como un medio viable para recibir un pago final.
Los grupos de extorsión RansomHouse y Karakurt fueron los más activos, generalmente obteniendo acceso a entornos a través de cuentas válidas, phishing o explotación de vulnerabilidades. Y según los informes públicos, algunos grupos de ransomware como BianLian y Clop también están dejando de usar el cifrado y apostando por la extorsión de robo de datos.
Continuando con la tendencia del primer trimestre del año, el sector de atención sanitaria fue nuevamente el vertical más atacado, representando el 22% del número total de compromisos de respuesta a incidentes, seguido de cerca por servicios financieros.
Recomendaciones
La falta de tecnologías de autenticación multifactor (MFA) o su implementación incorrecta en los servicios críticos jugó un papel clave en más del 40% de los compromisos a los que respondió Talos durante el segundo trimestre.
Cisco Talos recomienda así deshabilitar el acceso VPN para todas las cuentas que no tengan MFA, así como extender MFA para todas las cuentas de usuario (como empleados, contratistas o socios comerciales), ya que los atacantes apuntan muchas veces a cuentas de proveedores que generalmente tienen privilegios y acceso ampliados.
Las organizaciones también deberían realizar una auditoría de contraseñas en todas las cuentas de usuario y servicio para garantizar que la complejidad y la solidez estén alineadas con las mejores prácticas de la industria por tipo de cuenta (privilegio, servicio, usuario…) para evitar técnicas como pulverización de contraseñas.
Accede aquí a la información completa sobre el informe.