.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
A menudo les preguntan a los investigadores de Counter Threat Unit™ (CTU) sobre los grupos de ransomware que suponen una amenaza para las organizaciones de sectores verticales o ubicaciones geográficas específicos. Estas preguntas suelen surgir tras la publicación de informes de terceros que destacan cómo un grupo de ransomware concreto está «atacando» un sector específico. Los investigadores de CTU™ comprenden estas preocupaciones, pero sostienen que centrarse en defenderse de grupos específicos no es la mejor manera de evitar convertirse en víctima del ransomware. Dado que la mayoría de los ataques de ransomware son oportunistas, las empresas deberían considerar cómo pueden prepararse mejor para cualquier ataque de ransomware o robo de datos, independientemente de quiénes sean los autores.
La forma en que los actores maliciosos eligen a sus víctimas y despliegan el ransomware depende de sus motivaciones. Los ciberdelincuentes quieren ganar dinero, por lo que todas las organizaciones son víctimas potenciales de estos grupos. Por el contrario, los actores patrocinados por el Estado utilizan el ransomware con fines destructivos, para ocultar actividades de espionaje, para generar ingresos o para lambas cosas. Por lo tanto, cada uno de estos grupos tiene un perfil de amenaza distinto y las organizaciones en riesgo pueden variar mucho.
Ciberdelincuencia
Los ataques con motivaciones económicas son, con diferencia, las operaciones de ransomware más frecuentes. Dado que los actores maliciosos atacan a cualquier organización a la que pueden acceder, las organizaciones de todos los sectores y ubicaciones están en riesgo.
Aunque algunos grupos pueden optar por explotar el acceso disponible en empresas con mayores ingresos, creyendo que así obtendrán un mayor beneficio, la telemetría de los clientes de Sophos revela que la mayoría de los intentos de desplegar ransomware se producen en pequeñas organizaciones. Estas empresas son probablemente más susceptibles de verse comprometidas debido a sus limitados presupuestos de ciberseguridad y a la falta de recursos internos dedicados a la ciberseguridad.
Acceso oportunista para obtener beneficios económicos
Las operaciones de ransomware con motivaciones económicas son casi en su totalidad oportunistas y se basan en el acceso disponible. Este acceso puede haberse obtenido a través de malware distribuido en campañas de phishing, credenciales capturadas por infostealers o la explotación de vulnerabilidades en servicios conectados a Internet. Sea cual sea el método, el enfoque es aleatorio y no selectivo. Por lo tanto, los investigadores de la CTU tratan de evitar el uso de la palabra «selección» cuando se refieren a los ataques, y en su lugar utilizan «victimización» para describir el proceso de selección de víctimas.
Cualquier selección probablemente implique una evaluación de a qué víctimas potenciales no atacar, en lugar de a cuáles atacar. Por ejemplo, la mayoría de los grupos de ransomware rusos y de Europa del Este evitan deliberadamente comprometer a organizaciones de Rusia u otros países miembros de la Comunidad de Estados Independientes (CEI), y cada vez más a miembros del bloque económico BRICS, para evitar el escrutinio de las fuerzas del orden rusas o alineadas con Rusia. Algunos grupos también pueden esforzarse por evitar atacar a organizaciones del sector sanitario o de infraestructuras críticas, probablemente para evitar la presión internacional sobre las fuerzas del orden locales para que tomen medidas, aunque los grupos suelen hacer estas afirmaciones basándose en motivos éticos o morales grandilocuentes y espurios.
El sector bancario es un buen ejemplo de la naturaleza oportunista de los ataques de ransomware de los ciberdelincuentes. Los bancos son organizaciones con altos ingresos, por lo que una interrupción de sus operaciones causada por el ransomware sería una poderosa motivación para que pagaran rescates. En teoría, estos factores los convertirían en objetivos principales para este tipo de ataques. Sin embargo, los investigadores de la CTU ven muy pocos bancos afectados por el ransomware. Probablemente esto se deba a que se trata de un sector muy regulado, con normas de ciberseguridad obligatorias que eliminan las sanciones competitivas. Como resultado, se realizan inversiones, se especifican marcos de control, se defienden bien los perímetros y se diseñan redes para limitar las oportunidades de compromiso. Las organizaciones que operan en sectores no regulados son más susceptibles a los ataques oportunistas porque no se incentiva de la misma manera el empleo de prácticas sólidas de ciberseguridad. Por ejemplo, la mejora de las medidas de seguridad en el sector de la manufactura aumenta la base de costes de una empresa y hace que los productos de la competencia sean comparativamente más baratos.
Lee el articulo completo en inglés aquí.