A pesar de la avalancha de medidas policiales para acabar con las bandas de ransomware, Secureworks ha observado un aumento interanual del 30 % en los grupos de ransomware activos. En la octava edición del Informe anual sobre el estado de las amenazas de Secureworks, la firma identificó 31 nuevos grupos que habían ingresado al ecosistema de ransomware en los últimos 12 meses. El informe señaló que, si bien el panorama de amenazas había estado dominado anteriormente por unos pocos actores importantes, ahora alberga un conjunto más amplio de entidades emergentes. Los tres grupos de ransomware más activos, según el número de víctimas enumeradas, son: LockBit, que Secureworks describió como el “superior establecido desde hace mucho tiempo” del ransomware. El grupo representó el 17% de todas las víctimas incluidas en la lista. Esto es un 8% menos que el año anterior y el mérito de esta caída se atribuye a la actividad policial en curso, Operación Cronos, que ha interrumpido gran parte de la actividad de los grupos. PLAY fue el segundo grupo más activo y ha duplicado su número de víctimas año tras año. A lo largo del año, RansomHub surgió como un nuevo grupo, ingresando al redil una semana después de la eliminación inicial de LockBit en febrero de 2024. El grupo fue responsable del 7% de la proporción de víctimas enumeradas por BlackCat/ALPHV, anteriormente uno de los grupos de ransomware más activos. , no ha entrado este año entre los tres primeros, y la actividad policial ha causado una interrupción significativa de sus operaciones. Secureworks señaló que a pesar del crecimiento de los grupos de ransomware, el número de víctimas no aumentó al mismo ritmo. La compañía dijo que esto demuestra un panorama más fragmentado y plantea la pregunta de qué tan exitosos podrían ser estos nuevos grupos. “El ransomware es un negocio que no es nada sin su modelo de afiliado. En el último año, la actividad policial ha destrozado viejas lealtades, remodelando el negocio del delito cibernético. Originalmente caóticas en su respuesta, los actores de amenazas han refinado sus operaciones comerciales y su forma de trabajar. El resultado es un mayor número de grupos, respaldado por una importante migración de afiliados”, afirmó Don Smith, vicepresidente de Inteligencia de Amenazas de la Unidad Contra Amenazas de Secureworks. «A medida que el ecosistema evoluciona, tenemos entropía en los grupos de amenazas, pero también imprevisibilidad en los manuales, lo que agrega una complejidad significativa para los defensores de la red», dijo Smith. Las crecientes amenazas de la IA y el adversario en el medio (AiTM) Las herramientas de IA están ahora muy extendidas y disponibles para uso tanto legítimo como delictivo. Los investigadores de Secureworks CTU dijeron que han observado un aumento en las publicaciones en foros clandestinos sobre OpenAI ChatGPT y cómo se puede utilizar con fines nefastos desde mediados de febrero de 2023. Gran parte de la discusión se relaciona con actividades de nivel relativamente bajo, incluidos ataques de phishing y creación de scripts básicos. , dijo la empresa. Mientras tanto, los ataques AiTM se utilizan para robar credenciales y cookies de sesión con el fin de obtener acceso a las redes. Esto reduce potencialmente la eficacia de algunos tipos de MFA, una tendencia preocupante para los defensores de las redes. Estos ataques se facilitan y automatizan mediante kits de phishing que se pueden alquilar en mercados clandestinos y Telegram. Los kits populares incluyen Evilginx2, EvilProxy y Tycoon2FA. «El uso cada vez mayor de la IA da escala a los actores de amenazas; sin embargo, el aumento de los ataques AiTM presenta un problema más inmediato para las empresas, ya que refuerza que la identidad es el perímetro y debería hacer que las empresas hagan un balance y reflexionen sobre su postura defensiva», dijo Smith. Análisis de la actividad de amenazas patrocinadas por el Estado China, Rusia, Irán y Corea del Norte siguen siendo los actores estatales hostiles que más preocupan y Secureworks dijo que todos continúan desplegando campañas cibernéticas contra sus objetivos habituales. Rusia ha evolucionado sus tácticas en relación con el conflicto en Ucrania para centrarse en ataques impulsados ​​por el espionaje que buscan obtener inteligencia militar. Esta actividad se ha observado fuera de Ucrania. Los investigadores de CTU evaluaron que el uso más agresivo de las capacidades cibernéticas por parte de Rusia en operaciones de sabotaje seguirá centrándose en objetivos de infraestructura críticos dentro de Ucrania. Mientras tanto, China ha evolucionado su oficio con enormes inversiones en redes confusas mientras vive de la tierra, en el borde y en la nube. La intención de China continúa centrándose en el espionaje y el robo de información para obtener beneficios políticos, económicos y militares. En Irán, hay dos patrocinadores principales iraníes de la actividad cibernética: el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) y el Ministerio de Inteligencia y Seguridad (MOIS). Su actividad cibernética sigue estando impulsada por imperativos políticos centrados en Israel y otros adversarios regionales, incluidos Arabia Saudita, los Emiratos Árabes Unidos y Kuwait, así como Estados Unidos. Finalmente, los actores de amenazas norcoreanos han continuado con sus operaciones de generación de ingresos a través del robo de criptomonedas y sofisticados esquemas de empleo fraudulentos para obtener acceso a empleos occidentales. Fueron persistentes en apuntar al sector de TI y a las debilidades en la cadena de suministro. Los objetivos se centraron en entidades de EE. UU., Corea del Sur y Japón. Corea del Norte está dispuesta a trabajar con Rusia e Irán con la intención de fomentar relaciones con países que estén preparados para enfrentar enemigos relacionados y percibidos a pesar de las sanciones internacionales. El Informe anual sobre el estado de las amenazas examina el panorama de la ciberseguridad desde junio de 2023 hasta julio de 2024.