Los ataques de ransomware rompieron récords en julio, principalmente impulsados por este grupo en particular.
Ransomware attacks broke records in July, mainly driven by this particular group.
Los ataques de ransomware alcanzaron niveles récord en julio de 2023, impulsados por la explotación del software MOVEit por parte del grupo de ransomware Cl0p.
En un nuevo informe publicado por el equipo de Inteligencia de Amenazas Globales de NCC Group, los analistas observaron un número récord de ciberataques relacionados con ransomware el mes pasado, con 502 incidentes importantes rastreados. Según los investigadores, esto representa un aumento del 154% año tras año, en comparación con los 198 ataques rastreados en julio de 2022.
También: ¿Qué es el ransomware? Todo lo que necesitas saber
Las cifras de julio representan un aumento del 16% con respecto al mes anterior, con 434 incidentes de ransomware registrados en junio de 2023.
NCC Group afirma que este número récord se debe, en gran parte, a las actividades de Cl0p, un grupo notorio vinculado a la explotación del software MOVEit.
- Leviton lanza nuevos dispositivos para el hogar inteligente, incluy...
- Los sensores de IA en el bosque pueden oler un incendio forestal an...
- La política electoral de Facebook para 2024 podría depender de un v...
¿Quién es Cl0p?
Cl0p, también conocido o asociado a Lace Tempest, fue responsable de 171 de los 502 ataques en julio, muchos de los cuales se cree que se deben a la explotación del software de transferencia de archivos MOVEit.
También: El ransomware se ha convertido en un problema para todos, no solo para la tecnología
Cl0p ha estado activo desde 2019 y es conocido como un servicio de ransomware (Ransomware-as-a-Service, RaaS) ofrecido a ciberdelincuentes. También conocido o asociado con TA505, Cl0p ha perseguido de manera agresiva a objetivos de alto valor con el objetivo de extorsionar altos pagos de rescate por ransomware, y los operadores a menudo roban información antes de cifrarla en lo que se conoce como una táctica de doble extorsión.
Si las víctimas se niegan a pagar, corren el riesgo de que sus datos robados se publiquen en línea y se les nombre en un sitio de filtraciones públicas.
La explotación de MOVEit
Conocida como un “desastre de lento movimiento”, la explotación de MOVEit ha afectado a cientos de organizaciones en todo el mundo, con datos pertenecientes a millones de personas robados.
En mayo, Progress Software informó de una vulnerabilidad de día cero en el servicio de transferencia de archivos MOVEit Transfer y MOVEit Cloud, que podría llevar a privilegios escalados y posibles accesos no autorizados a entornos de clientes. El problema es que MOVEit es utilizado por agencias gubernamentales e industrias altamente reguladas, tanto directamente como a través de cadenas de suministro de software.
También: Este intento de estafa de facturas de criptomonedas generadas por IA casi me atrapa, y soy un profesional de la seguridad
Se cree que las víctimas incluyen al Departamento de Energía de los Estados Unidos, Shell, la BBC, Ofcom, el National Student Clearinghouse y numerosas universidades estadounidenses.
Industrias afectadas
En total, los jugadores industriales representaron el 31% de los ataques de ransomware, es decir, 155 incidentes registrados.
Los jugadores de la industria incluyen servicios profesionales y comerciales, fabricación, construcción e ingeniería. Según los investigadores, los servicios profesionales y comerciales fueron los más atacados en julio, con los grupos de ransomware Cl0p, LockBit 3.0 y 8Base responsables del 48% de todos los ciberataques registrados.
Aunque estos sectores han sufrido el mayor número de ataques de ransomware hasta ahora este año, los cíclicos del consumidor ocuparon el segundo lugar, con 79 ataques, es decir, el 16% del total en julio. Esta categoría incluye hoteles, entretenimiento, medios de comunicación, comercio minorista, construcción de viviendas, el sector automotriz y más.
También: Los mejores servicios de VPN en este momento: probados y revisados por expertos
En cuanto a la tecnología, ocupa el tercer lugar con 72 casos, es decir, el 14% de los ataques mensuales. NCC Group afirma que esta industria “ha experimentado el mayor aumento en números absolutos en los tres principales sectores este mes, lo cual probablemente se deba a la actividad de Cl0p”.
Cl0p fue responsable de 39 ciberataques contra el sector, es decir, el 54%, y esto incluye ataques contra organizaciones que ofrecen servicios de TI y software, proveedores de semiconductores, electrónica de consumo y servicios de telecomunicaciones.
Aparecen nuevos grupos de ransomware en escena
Siguiendo a Cl0p, Lockbit 3.0 fue clasificado como la segunda banda de ransomware más activa en julio, siendo responsable de 50 ataques, o el 10%. Aunque esto representa una disminución del 17% respecto al mes anterior, julio también fue un escenario para que nuevos actores amenazantes y rebrandeados se dieran a conocer.
Por ejemplo, Noescape, se cree que es un rebrandeo de Avaddon, que cerró después de enviar miles de claves de descifrado a un medio de comunicación en 2021, fue responsable de 16 de los ataques registrados, uniéndose a otros como 8Base, BianLian, BlackCat, Play y Cactus.
También: Las redes industriales necesitan una mejor seguridad a medida que los ataques escalan
“Muchas organizaciones todavía están lidiando con el impacto del ataque de MOVEit de Cl0p, lo que demuestra lo amplio y duradero que pueden ser los ataques de ransomware. Ninguna organización o individuo está a salvo”, comentó Matt Hull, Jefe Global de Inteligencia de Amenazas en NCC Group. “Esta campaña es particularmente significativa dado que Cl0p ha sido capaz de extorsionar a cientos de organizaciones comprometiendo un entorno. No solo debes estar alerta en proteger tu propio entorno, sino que también debes prestar atención a los protocolos de seguridad de las organizaciones con las que trabajas como parte de tu cadena de suministro”.
