A medida que las amenazas a la ciberseguridad continúan creciendo en escala, sofisticación e intención, es imperativo que las organizaciones comprendan a los actores clave, los riesgos emergentes y las técnicas en evolución para ayudar a fortalecer las ciberdefensas que dan forma al panorama.
Un informe reciente de Bridewell destaca cuán dinámico se ha vuelto el entorno adversario durante el año pasado.
Director de inteligencia sobre amenazas cibernéticas de Bridewell.
Los actores de amenazas han cambiado comportamientos, perfeccionado herramientas y adaptado tácticas.
A continuación se presentan algunas cosas clave que las organizaciones deben saber para hacer frente a las amenazas inmediatas.
El aumento del robo de datos y la extorsión
Históricamente, las tácticas de ransomware requerían principalmente que las víctimas cifraran sus datos y pagaran por claves de descifrado. Sin embargo, los ataques recientes ponen de relieve un cambio de táctica: los actores de amenazas dan prioridad al robo de datos y la extorsión y amenazan con publicar información robada a menos que se pague un rescate.
Esto se vio en un ataque contra el proveedor de telecomunicaciones del Reino Unido Colt Technology Services, donde el grupo de ransomware Warlock aprovechó una vulnerabilidad en Microsoft SharePoint para infiltrarse en los sistemas de la empresa.
Los atacantes robaron cientos de gigabytes de datos confidenciales, incluida información salarial de los empleados, registros financieros, contratos de clientes y detalles de la arquitectura de la red. Después de no pagar el rescate, el grupo publicó una lista de los archivos en un foro ruso de Tor, poniendo a la venta más de un millón de documentos.
El grupo de ransomware Clop también demostró este cambio en mayo de 2023 al explotar una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit (CVE-2023-34362) para infiltrar grandes volúmenes de datos de cientos de organizaciones, incluidas empresas de alto perfil como la BBC y Boots. En lugar de cifrar los sistemas, Clop amenazó con divulgar públicamente la información robada a través de su sitio de filtración.
Este desarrollo aprovecha las crecientes presiones regulatorias y de reputación que enfrentan las organizaciones, particularmente en jurisdicciones con leyes de privacidad estrictas. Aunque los ataques basados en cifrado a menudo resultan en mayores demandas de rescate individuales debido a la necesidad de restaurar servicios críticos. Además, las mejoras en los controles de recuperación y respaldo de datos han hecho que, sin darse cuenta, el robo de datos y la extorsión sean una alternativa más eficaz para los atacantes.
Las recientes operaciones de robo de datos a gran escala por parte de grupos de hackers como Scattered Spider y Shiny Hunters, asociados al colectivo conocido como “Com” o “Community”, han apuntado a grandes proveedores de servicios de software como Salesforce y otras empresas que se integran con sus plataformas. Esto ha vuelto a poner de relieve el deseo de utilizar el robo de datos y la extorsión para difundir ransomware y cifrar los archivos de las víctimas.
Explotación de vulnerabilidades y dispositivos perimetrales
Las vulnerabilidades sin parches en sistemas conectados a Internet y dispositivos perimetrales siguen siendo un vector de ataque clave para los grupos de ransomware. Los atacantes están explotando fallas en tecnologías ampliamente utilizadas, incluidas VPN, herramientas de monitoreo remoto y herramientas de red, para obtener acceso inicial a los sistemas empresariales. Estas vulnerabilidades permiten un compromiso masivo a escala y contribuyen al éxito de las campañas de ransomware.
En 2024, los famosos grupos de ransomware Clop y Termite eran actores altamente capacitados para atacar los servicios de transferencia de archivos administrados. Además, a principios de este año, Clop apuntó a Cleo, un proveedor de software de integración y transferencia de archivos administrados, al explotar una vulnerabilidad de día cero (CVE-2024-50623) en su software de integración.
Este ataque afectó a más de 80 organizaciones, principalmente en los sectores de telecomunicaciones y atención médica, lo que provocó una importante exposición de datos e interrupciones operativas. Recientemente, hemos visto a varios actores de amenazas lanzar ataques generalizados dirigidos a dispositivos Fortinet, Cisco e Ivanti sin parches. Esto incluye corredores de acceso y afiliados asociados con los grupos de ransomware Qilin, Akira y Ransomhub.
Los actores del ransomware continúan apuntando a los hipervisores, como los entornos VMware ESXi, con la esperanza de alterar rápidamente la infraestructura de TI crítica. Grupos como VanHelsing y DragonForce han sido vinculados a ataques recientes en campañas que utilizan activamente esta táctica.
Mientras tanto, los adversarios están redirigiendo sus esfuerzos para eludir los sistemas de detección y respuesta de puntos finales (EDR), conocidos como ‘asesinos de EDR’, que se logran explotando controladores vulnerables o características de software nativas.
El éxito de estos ataques ha aumentado con el mayor uso de Living-Off-the-Land Binaries (LOLBIN) y herramientas de administración y monitoreo remoto (RMM), otro método utilizado para evadir las herramientas EDR, lo que permite que los actores de amenazas se mezclen con las operaciones normales en un sistema o entorno para permanecer sin ser detectados, lo que hace que la detección y la mitigación sean significativamente más difíciles para las organizaciones.
Las herramientas de seguridad ofensivas siguen siendo fundamentales para las operaciones de ransomware. A pesar de los esfuerzos de la Unidad de Delitos Digitales (DCU) de Microsoft, Fortra y el Centro de Análisis e Intercambio de Información de Salud (Health-ISAC) en los últimos años para combatir el uso de copias con licencia de Cobalt Strike, sigue siendo la herramienta de seguridad ofensiva más utilizada entre los operadores de ransomware.
Aunque Fortra ha informado de una reducción del 80 % en las copias no autorizadas observadas en libertad en los últimos dos años, en realidad la situación sigue siendo un juego del gato y el ratón, con la infraestructura C2 maliciosa eliminada de los proveedores de alojamiento de buena reputación y los operadores simplemente reubicándose en otros de menor reputación.
Sin embargo, este cambio tiene algunas ventajas tácticas para los defensores, ya que la infraestructura alojada en proveedores de bajo nivel será bloqueada por productos de seguridad como firewalls y servidores proxy web de próxima generación.
Mientras tanto, otras herramientas ofensivas como Metasploit, Sliver, Brute Ratel y variantes más recientes como Pyramid C2, un marco de comando y control (C2) basado en Python, y Adaptix C2 están ganando popularidad constantemente.
Pensamientos finales
A medida que nos acercamos al año 2026, está claro que los ciberdelincuentes se están volviendo más ágiles, oportunistas y decididos a explotar tanto las vulnerabilidades técnicas como los puntos ciegos organizacionales. Con el aumento de los patrones de extorsión que priorizan el robo de datos, una mayor focalización en los dispositivos de borde y herramientas en constante mejora para eludir la EDR, los defensores enfrentan un desafío en evolución que requiere igual adaptabilidad.
Las organizaciones deben priorizar la aplicación de parches proactivos, fortalecer el monitoreo de entornos híbridos e invertir en inteligencia sobre amenazas que se mantenga al día con las tácticas cambiantes del adversario. Aquellos que desarrollen resiliencia ahora a través de la capacitación, la visibilidad y una respuesta sólida a incidentes estarán en la mejor posición para enfrentar las amenazas futuras.
Encuentre el mejor software antivirus: reseñas de expertos, pruebas y clasificaciones.
