El número de ciberataques de ransomware no ha parado de crecer y el sector salud es uno de los más afectados. De acuerdo con Unit 42, consultores de seguridad de Palo Alto Networks, tan sólo durante el primer semestre del 2024 los ataques de ransomware se incrementaron más de 4%. Y aunque las operaciones policiales han desmantelado a varios grupos de ransomware de alto perfil, otros tomaron su lugar.
El informe Ransomware Review: First Half of 2024 revela que en la primera mitad del año se identificaron 1,762 filtraciones de datos secuestrados. La información se puso a la venta en 53 sitios web asociados al ransomware. Esto supone una media de aproximadamente 294 publicaciones al mes y casi 68 publicaciones a la semana. De dichos sitios, seis fueron responsables de más de la mitad de los ataques.
Estados Unidos fue el país con más víctimas registrando 917 ciberataques de ransomware, lo que representa el 52% del total. Por orden de impacto, los 9 países siguientes fueron: Canadá, Reino Unido, Alemania, Italia, Francia, España, Brasil, Australia y Bélgica.
Ahora bien, los ataques de ransomware siguen siendo en gran medida oportunistas. Sin embargo, suelen dirigirse a industrias con tecnologías y dispositivos difíciles de monitorear y proteger. Tal es el caso de las organizaciones de atención sanitaria, cuya vulnerabilidad aumenta con la expansión de la Internet de las Cosas Médicas (IoMT). De hecho, en el lapso observado, acumuló 9.6% de los ataques registrados. Esto resulta especialmente grave, dado que la atención a la salud es extremadamente sensible a las interrupciones y los tiempos de inactividad.
Defenderse de los ciberataques de ransomware
Los ciberataques de ransomware se vieron impulsados por la explotación de diversas vulnerabilidades en el ecosistema de las TIC. Destacan las vulnerabilidades de día cero, que suelen aprovecharse para atacar las redes y desplazarse lateralmente por los entornos infectados.
De acuerdo con el reporte citado, ya en 2023 dichas vulnerabilidades se convirtieron en la principal causa de acceso inicial. De hecho superaron por primera vez a otros métodos comunes, como el phishing. Y esa tendencia continuó en ascenso este año.
Entre los grupos más activos para emprender ciberataques de ransomware se cuenta el denominado Spoiled Scorpius. Con ese nombre se identifican quienes están detrás de RansomHub, un RaaS anunciado en el foro de ciberdelincuencia Russian Anonymous Market Place (RAMP). Este grupo es en gran medida oportunista, pero prohíbe efectuar ciberataques de ransomware contra entidades en Cuba, China, Corea del Norte y territorios rusos.
Se logró identificar que el grupo suele obtener iniciar su ataque mediante el malware SocGholish, que aprovecha la optimización del motor de búsqueda (SEO). Luego, una vez dentro de los sistemas de las víctimas, procede a eliminar copias de seguridad, tanto en almacenamiento local como en la nube.
Además, hay evidencia de que utilizan ataques de denegación de servicio distribuidos (DDoS) y vulnerabilidades como CVE-2020-1472 para afectar a sus víctimas. El grupo también llama en frío a los afectados para presionar aún más y que paguen el cuantioso rescate.
Es por ello que resulta prioritario que las organizaciones de salud mejoren sus defensas contra los ciberataques de ransomware. Deben proteger tanto sus redes como sus recursos en la nube, para mitigar riesgos y salvaguardar la información sensible o confidencial que las hacen tan apetecibles para los ciberdelincuentes.