Un reciente informe de Cyfirma revela un aumento significativo en la actividad de ransomware durante mayo de 2024, con cambios notables entre los principales actores de amenazas. LockBit emergió como la amenaza predominante, con 174 víctimas, registrando un asombroso incremento del 625% en su actividad.
El sector manufacturero fue el más afectado, con 85 incidentes reportados. Estados Unidos fue el país más golpeado, con 249 ataques registrados. Entre las nuevas amenazas emergentes se encuentran Arcusmedia, SpiderX y FakePenny.
Incremento de Actividad de los Grupos de Ransomware
En mayo de 2024, la actividad de los principales grupos de ransomware experimentó cambios significativos en comparación con abril:
- LockBit: Aumento del 625%.
- INC Ransom: Incremento del 100%.
- Play: Intensificación de ataques en un 10.34%.
- RansomHub: Incremento del 4.17%.
- Medusa: Resurgió con 23 incidentes tras estar ausente en abril.
LockBit, activo desde 2019, sigue evolucionando pese a las intervenciones regulares de las fuerzas del orden. El grupo se recuperó rápidamente tras el desmantelamiento de su infraestructura en febrero, reafirmando su posición como el grupo más activo en mayo.
Afectación por Sectores
La actividad de ransomware se intensificó en varios sectores durante mayo:
- Manufactura: Aumento del 28.79%.
- Bienes raíces y construcción: Incremento del 66.67%.
- Banca y finanzas: Aumento del 105%.
- Instituciones gubernamentales y servicios legales: Incremento del 48%.
- Salud: Aumento del 71.43%.
- Comercio electrónico y telecomunicaciones: Incremento del 230%.
- Tecnología de la información: Aumento del 55.56%.
- Transporte: Incremento del 21.05%.
- Educación: Aumento del 250%.
- Hospitalidad: Incremento del 17.65%.
- Medios: Crecimiento del 116.67%.
- Energía: Disminución del 33.33%.
- Bienes de consumo: Reducción del 4.26%.
Principales Regiones Afectadas
Los países más atacados en mayo de 2024 fueron:
- Estados Unidos: 249 ataques.
- Reino Unido: 34 ataques.
- Canadá: 23 ataques.
- España: 19 ataques.
- Francia: 18 ataques.
Modus Operandi de las Amenazas
LockBit Black se propaga principalmente a través de la botnet Phorpiex, distribuyendo correos electrónicos de phishing con archivos adjuntos infectados. Blackbasta utiliza tácticas de ingeniería social, como llamadas de phishing y enlaces maliciosos para acceder a los sistemas.
SpiderX ofrece sus servicios en foros clandestinos, destacando por sus características avanzadas y alta eficiencia. FakePenny, empleando un cargador y un encriptador, exige rescates que pueden alcanzar los 6.6 millones de dólares en Bitcoin. Arcusmedia, identificado por primera vez en mayo, ya ha perpetrado al menos 17 incidentes, principalmente dirigidos a América del Sur.
Incidentes Notables y Consecuencias
Entre los eventos clave de mayo se incluye el ataque al sistema de salud de Singing River, afectando a 895,204 individuos, y la venta del código fuente de INC Ransom en foros de hackers por $300,000. Además, se registraron ataques dirigidos a administradores de Windows a través de sitios de descarga de software falsos.
Impacto en las Empresas
Aproximadamente el 31% de las empresas se ven obligadas a suspender operaciones tras ataques de ransomware, y el 40% recurre a reducciones de personal. En el 35% de los casos, ocurren cambios de personal a nivel de alta dirección. La pérdida financiera promedio asciende a aproximadamente $200,000, y el 75% de las pequeñas y medianas empresas enfrentan la amenaza de cierre.
Recomendaciones para Mitigar el Riesgo
La creciente actividad del ransomware subraya la necesidad de reforzar las medidas de ciberseguridad. Invertir en tecnologías avanzadas de protección, capacitación de empleados, planificación de respuesta a incidentes, seguros de riesgos cibernéticos y auditorías de seguridad regulares ayudará a mitigar los riesgos y minimizar los daños.