Los troyanos han vuelto a ser una amenaza contra las instituciones de salud. Según el informe Cisco Talos Incident Response (CTIR), por primera vez en más de un año el ransomware no fue la principal amenaza observada. En el segundo trimestre de 2022, los ataques con troyanos vendidos como commodities —cual mercancía masiva, de fácil acceso— superaron al ransomware por un estrecho margen. De hecho, el cuidado de la salud fue la segunda vertical más atacada con este tipo de malware (el primer lugar lo ocupó telecomunicaciones).
En comparación con trimestres anteriores, el ransomware representó un porcentaje significativamente menor de las amenazas observadas, con el 15% de los ataques reportados. En el primer trimestre del año alcanzó el 25%. Esto puede atribuirse a varios factores, como los recientes desmantelamientos de grupos de ransomware las fuerzas de seguridad en distintos países y su continua fractura interna.
Principales amenazas
●El sector de las telecomunicaciones volvió a ser el más atacado, continuando la tendencia del trimestre anterior.
○El sector del cuidado de la salud fue el siguiente más atacado.
●Los grupos de ransomware como servicio (RaaS) más conocidos, como Conti y BlackCat, realizaron sus ataques buscando cobrar rescates grandes.
○Conti anunció el cese de sus operaciones a principios de este año, aunque todavía se desconocen los posibles efectos en el panorama del ransomware.
○Una nueva variante de RaaS llamada “Black Basta” es un presunto cambio de nombre de Conti. Es probable que sea una amenaza en los próximos trimestres.
●El ransomware LockBit lanzó otra versión, con más opciones de pago en criptomonedas. También utiliza tácticas de extorsión adicionales y un nuevo programa de recompensas por errores.
Defenderse de los troyanos y otro malware
●El malware básico fue el principal peligro observado en el primer trimestre de 2022, con un 20% de los ataques. Las siguientes amenazas más observadas fueron el phishing, el correo electrónico empresarial comprometido (BEC) y las amenazas internas.
●Al igual que en el primer trimestre de 2022, se observan ataques basados en el correo electrónico. Aprovechan técnicas de ingeniería social para atraer a los usuarios a hacer clic o ejecutar un enlace o archivo determinado.
●Un caso notable registrado en CTIR fue el de una variante de ransomware desconocida hasta entonces. Su peligrosidad consiste en que incorpora artefactos y componentes que se solapaban con al menos otras tres familias de ransomware.
●El principal país objetivo sigue siendo Estados Unidos. Otras organizaciones atacadas se ven globalmente en Europa, Asia, Norteamérica y Oriente Medio.
Ahora bien, existen opciones para protegerse. Por ejemplo, los firewalls y los lineamientos del sistema de prevención de intrusos Snort pueden frenar el malware commodity.
Las herramientas de seguridad para correo electrónico y plataformas analíticas de troyanos protegen a los usuarios contra phishing y BEC. La principal recomendación para las empresas consiste en utilizar múltiples factores de autenticación (MFA) en todos los servicios críticos. Además, deben implementar soluciones de detección y respuesta dirigidos a dispositivos terminales para detectar actividades maliciosas en las redes y máquinas de las organizaciones.