El número de ataques de ransomware exitosos anunciados en sitios de filtraciones aumentó un 9% interanual (YoY) en el primer trimestre de 2024 a pesar de la interrupción de alto perfil de las fuerzas del orden a los principales grupos, según afirmó Symantec. El proveedor de seguridad dijo que registró 962 ataques reclamados en el primer trimestre de 2024, por debajo de los 1190 ataques de los tres meses anteriores, pero aún más que los 886 reclamados en el primer trimestre de 2023. Las fuerzas del orden globales se unieron para realizar arrestos, derribar la infraestructura y socavar la credibilidad de los prolíficos grupos ALPHV/BlackCat y LockBit en diciembre de 2023 y febrero de 2024 respectivamente. Sin embargo, aunque BlackCat desapareció posteriormente, LockBit parece seguir operativo. «La posición de LockBit como la amenaza número uno del ransomware se mantuvo indiscutible en el primer trimestre de 2024, representando más del 20% de todos los ataques reclamados», dijo Symantec. Lea más sobre ransomware: Las demandas de ataques de ransomware alcanzan la asombrosa cifra de 5,2 millones de dólares en 2024. En términos de ataques reclamados a sitios de filtraciones, el grupo perseguidor incluye a Qilin, Play, Phobos, Hunters y Bianlian, todos ellos con una participación del 7% de las publicaciones de sitios de filtraciones. Sin embargo, los propios datos de Symantec de las investigaciones que realizó en el primer trimestre de 2024 sitúan a LockBit en el 32%, seguido de Akira (14%) y Blacksuit (11%). «La comparación puede dar alguna indicación de las tasas de éxito experimentadas por los actores vinculados a cada operación», dijo Symantec. «Para que Symantec identifique positivamente un ataque como asociado a una determinada familia de ransomware, el ataque tiene que avanzar hasta la etapa en la que los atacantes intentan implementar una carga útil. Esto sugiere que los atacantes que utilizan Akira y Blacksuit tienen más probabilidades de avanzar sus ataques al menos hasta la etapa de implementación de la carga útil». Las vulnerabilidades siguen dando sus frutos El informe también afirma que la explotación de vulnerabilidades conocidas en aplicaciones públicas sigue siendo el principal vector de ataques de ransomware. Symantec citó ataques recientes a servidores web que explotaban CVE-2024-4577; una falla de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en Windows. Sin embargo, no todos los proveedores de ciberseguridad están de acuerdo. El último informe de Coveware, que cubre el primer trimestre de 2024, afirmó que el compromiso del acceso remoto sigue siendo el principal método de acceso inicial, seguido a cierta distancia por el phishing y la explotación de vulnerabilidades, que están prácticamente empatados. Por otra parte, Symantec señaló el uso continuo de tácticas de «traiga su propio controlador vulnerable» (BYOVD) para desactivar las soluciones de seguridad. «Dado que los controladores están firmados y pueden obtener acceso al kernel, se utilizan con frecuencia para matar procesos», explicó. «Un controlador escrito correctamente contendrá comprobaciones para garantizar que solo el software con el que está diseñado para funcionar emita comandos y que solo se use para el propósito previsto. Un conductor vulnerable, en manos equivocadas, se convierte de facto en una herramienta de escalada de privilegios”.