La compañía tecnológica ha presentado la segunda edición de 'Cyber Signals', un informe que realiza periódicamente sobre ciberamenazas y que muestra las tendencias en seguridad y ciberdelincuencia. En esta edición, ofrece una visión sobre la evolución de la extorsión en el cibercrimen.
En este análisis, la compañía destaca que la especialización y consolidación del cibercrimen han impulsado el 'ransomware' como servicio (RaaS), que se ha convertido en un modelo de negocio dominante.
Los programas RaaS, entre los que se encuentran Conti o REvil, ofrecen a los ciberdelincuentes la oportunidad de comprar el acceso tanto a las cargas útiles o 'payloads' del 'ransomware' como a la fuga de datos y a la infraestructura de pago.
Estos los utilizan diferentes actores maliciosos, entre los que se encuentran los denominados 'brokers' de acceso, que comercializan con la posibilidad de acceder a las redes y su experiencia. De ese modo, aquellos ciberdelincuentes que no dispongan de los conocimientos necesarios para ejecutar sus ataques, pueden pagar por dichas técnicas y utilizar, entre otras, aplicaciones de pruebas de intrusión y de sistemas.
A esto se refiere una de las principales conclusiones del estudio, que apunta que las empresas están experimentando un aumento tanto del volumen como de la sofisticación de los ataques.
En esa misma línea se sitúa un dato que ofrece la Oficina Federal de Investigación de Estados Unidos, que en su Informe de Delitos en Internet 2021 indicó que el coste de la ciberdelincuencia alcanzó más de 6.900 millones de dólares.
Asimismo, la Agencia de Ciberseguridad de la Unión Europea (ENISA) informó que, entre mayo de 2021 y junio de 2022, los actores de amenazas de 'ransomware' robaron unos 10 terabytes (TB) de datos al mes, y que el 58,2 por ciento de los archivos robados incluían información personal de los empleados.
Por otra parte, Microsoft reconoce que la mayoría de los ataques de 'ransomware', más del 80 por ciento, se pueden rastrear como errores de configuración comunes tanto en el 'software' como en los dispositivos.
Esta proliferación explica que la Unidad de Crímenes Digitales de Microsoft eliminase más de 531.000 URLs y 5.400 kits de 'phishing' entre julio de 2021 y junio de 2022, lo que llevó a la clausura de más de 1.400 cuentas de correo electrónico maliciosas.
El escaso tiempo que los ciberdelincuentes emplean para acceder a los datos personales de un usuario engañado a través de correo electrónico ('phishing') también es preocupante, puesto que apenas tardan una hora y doce minutos en entrar en sus sistemas.
Sin embargo, en el caso de las amenazas a los dispositivos informáticos remotos que se comunican a través de redes o 'endpoints', si se ven comprometidos, el tiempo medio para que un atacante comience a moverse dentro de una red corporativa es de una hora y 42 minutos.
Reforzar la defensa en las organizaciones
Para combatir el auge del 'ransomware', Microsoft informa de que se requieren nuevos niveles de colaboración, con el fin de que se comparta más información entre aquellas empresas que pertenezcan al sector público y aquellas correspondientes al privado.
De ese modo, es importante construir un protocolo de higiene de credenciales. Esto se debe a que los ciberatacantes utilizan diferentes técnicas para propagarse de forma progresiva a través de una red, un recorrido en el que buscan una segmentación lógica de la red basada en los privilegios para limitar movimientos laterales.
También es fundamental auditar la exposición de credenciales y que los equipos de seguridad de TI y los Centros de Operaciones de Seguridad (SOC) trabajen en un entorno colaborativo para reducir los privilegios administrativos y tener más control del estado de sus contraseñas.
Finalmente, Microsoft aboga por reducir la superficie de ataque de 'ransomware' y establecer reglas definidas para mitigar a estos intrusos en las etapas iniciales de la infección de los equipos.
