El robo de datos representó el 94% de todos los ataques cibernéticos en todo el mundo en 2024, según una nueva investigación, ya que los ciberdelincuentes combinan cada vez más la exfiltración de datos con cifrado en campañas de ransomware.
Más allá del cifrado, atacantes de ransomware Ahora amenaze con filtrarse o vender los datos de una empresa en la web oscura si las víctimas se niegan a pagar. La información robada a menudo incluye datos de identificación personal y propiedad intelectual patentada.
Los hallazgos provienen del informe de tendencia de ransomware 2024 de BlackFog, que analizó la actividad de ransomware en cientos de ataques públicos y no revelados a las organizaciones globales entre enero y diciembre.
El informe encontró que la cantidad promedio de datos robados en un ataque de exfiltración no revelado es de 592 GB, y el número de ataques cibernéticos divulgados y no revelados aumentó en un 25% y 26% año tras año, respectivamente.
El Dr. Darren Williams, fundador y director ejecutivo de BlackFog, dijo en un comunicado de prensa: “El informe muestra que 2024 fue un año histórico con organizaciones que enfrentan daños financieros y de reputación de ataques de ransomware, con sectores de alto valor particularmente presionados para pagar Ransoms para restaurar las operaciones “.
Según el informe de costo de violación de datos de IBM, el costo promedio de un ataque de ransomware que involucra la exfiltración de datos en 2024 fue de $ 5.21 millones.
“A medida que los ciberdelincuentes refinan continuamente sus técnicas para explotar las vulnerabilidades y lanzar ataques a gran escala, defender contra el ransomware se está volviendo cada vez más complejo”, agregó el Dr. Williams. “Los gobiernos están intensificando los esfuerzos para contrarrestar esta creciente amenaza, introduciendo nuevas medidas, como informes obligatorios de incidentes de ransomware. Sin embargo, la crisis global de ransomware continúa aumentando a un ritmo alarmante “.
Los atacantes de ransomware se sienten cada vez más atraídos por herramientas empresariales legítimas
En septiembre de 2024, los investigadores de seguridad descubrieron una variante de ransomware de doble extinción Dirigir a los servidores ESXI VMwareque copiaron y encriptaron los datos del objetivo. Los grupos de ransomware también han estado explotando legítimos tecnología de transferencia de archivos Para asegurar ataques.
VER: Microsoft dice que los grupos de ransomware están explotando la falla de VMware ESXi recién parchada
BlackFog informó que PowerShell se usó en el 56% de los casos de ransomware en 2024, destacando cómo los atacantes están “cada vez más aprovechando las herramientas y plataformas legítimas para infiltrarse en redes, establecer una presencia y exfiltrar datos sin desencadenar alarmas de muchas plataformas de protección de puntos finales”.
Las principales industrias dirigidas enfrentan una presión implacable
Los sectores de fabricación, servicios y tecnología vieron el mayor número de ataques no revelados, y son a menudo citado como altamente dirigido Debido a la naturaleza crítica de su tiempo de actividad, altos niveles de digitalización y grandes volúmenes de datos confidenciales.
Para los ataques revelados, la atención médica, el gobierno y la educación fueron los más específicos, representando el 47% de todos los titulares de noticias relacionadas con el ransomware en 2024. El mayor aumento se observó en el sector minorista donde los ataques revelados en un 96% con víctimas de alto perfil incluido Starbucks, Sainsbury’s, MorrisonsLondon Drugs y Krispy Kreme.
Grupos de ransomware: persisten los viejos líderes, surgen nuevos jugadores
Lockbit siguió siendo el grupo de ransomware más activo, atacando a 603 víctimas reportadas. Esto fue a pesar de un importante derribo de la ley En febrero de 2024, dirigido por la División Cibernética de la Agencia Nacional del Crimen del Reino Unido, el FBI y otros socios internacionales. La operación deshabilitó temporalmente la plataforma de ransomware como servicio de Lockbit, pero el grupo reanudó las operaciones días después en un nuevo dominio web oscuro.
Aún, Los pagos a Lockbit disminuyeron en un 79% En la segunda mitad del año, según una investigación separada de la cadena de análisis.
El informe de BlackFog identificó a RansomHub como el segundo grupo de ransomware más activo de 2024. Un recién llegado relativo, surgió en febrero de 2024 y rápidamente ganó notoriedad con los ataques al fabricante global Kawasaki y la compañía de servicios de petróleo y gas Halliburton.
Medusa y el juego ocuparon el tercer lugar en incidentes revelados y no revelados, respectivamente.
Surge en nuevos grupos de ransomware alimentados por AI
Un informe de Cyberint de octubre encontró que el segundo trimestre de 2024 tenía el mayor número de Grupos de ransomware activos En el registro, como grupos más pequeños y más nuevos entraron en escena.
En enero de 2024, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que el amenaza de ransomware Se esperaba que aumentara debido a la nueva disponibilidad de tecnologías de IA que disminuyen la barrera de entrada, lo que permite que incluso los delincuentes sin experiencia realicen ataques sofisticados.
La investigación de BlackFog reforzó estos hallazgos, informando que surgieron 48 nuevos grupos de ransomware en 2024, marcando un aumento del 65% con respecto al número de nuevas variantes del año anterior. Más de la mitad de todos los ataques de ransomware en los últimos dos meses de 2024 fueron llevados a cabo por estos grupos recién formados.
