Más de una quinta parte (21%) de los ataques de ransomware a la atención sanitaria en los últimos 12 meses se dirigieron a la atención sanitaria, frente al 18% del año anterior. Muchos de estos ataques han sido noticia a nivel mundial debido al importante impacto en la atención al paciente, como la cancelación de operaciones. Esto según una nueva investigación de Barracuda Networks, que analizó 200 incidentes de ransomware notificados entre agosto de 2023 y julio de 2024. El proveedor de seguridad de redes también descubrió que los municipios de los gobiernos locales también son un sector altamente atacado, con un 17%. Numerosas autoridades locales de los EE. UU. se han visto afectadas por ataques de ransomware en la primera mitad de 2024, incluido el condado de Jackson en Missouri, el condado de Clay en Indiana y el condado de Coffee en Georgia. Estos incidentes han afectado a servicios críticos como el pago de impuestos y los servicios judiciales. Los incidentes de ransomware que afectaron al sector educativo cayeron del 18% en 2022-23 al 9% en 2023-24. Los ataques contra los servicios financieros aumentaron de menos del 1% al 6% en el mismo período. Otras industrias fuertemente atacadas fueron la manufactura (15%) y las empresas de tecnología (13%). El análisis abarcó 37 países. Los investigadores reconocieron que las diferentes regulaciones en todo el mundo significan que algunas organizaciones o sectores tienen obligaciones legales de informar incidentes cibernéticos, lo que potencialmente distorsiona los resultados relacionados con la industria. El ransomware como servicio sigue siendo frecuente El informe destacó la prevalencia de los modelos de ransomware como servicio (RaaS) en los incidentes analizados. LockBit estuvo detrás del 18% de los ataques en los que se conocía la identidad del atacante. De estos incidentes, el 28% tuvo como objetivo organizaciones de atención médica, el 21% municipios y el 14% educación. Se ha observado que LockBit reanudó sus operaciones de ransomware luego de que las fuerzas del orden derribaran gran parte de la infraestructura del grupo en febrero de 2024. ALPHV/BlackCat representó el 14% de los ataques en 2023-24. Un tercio de estos incidentes tuvieron como objetivo la atención médica, mientras que el 17% afectó a los servicios financieros. La banda Rhysida fue responsable del 8% de los ataques, y el 38% de ellos afectaron a la atención médica. Adam Khan, vicepresidente de operaciones de seguridad global de Barracuda Networks, comentó: «Los ataques de ransomware de alquiler pueden ser difíciles de detectar y contener. Diferentes clientes cibercriminales pueden usar diferentes herramientas y tácticas para implementar la misma carga útil, lo que resulta en una variación considerable». Oportunidades para detectar y prevenir el ransomware La priorización de los grupos de ransomware en la exfiltración de datos sobre el cifrado para extorsionar a las víctimas ha resultado en un mayor enfoque en las tácticas de evasión de defensa para aumentar el tiempo de permanencia en las redes de las víctimas. Los investigadores de Barracuda notaron que esta extensa actividad posterior al compromiso antes de la ejecución del componente de ransomware del ataque ofrece a los equipos de seguridad varias oportunidades para detectar, contener y mitigar el incidente antes de que se desarrolle por completo. El informe encontró que el 44% de los ataques de ransomware en desarrollo se detectaron durante la etapa de movimiento lateral. A esto le siguió la detección de modificaciones de archivos (25%) y comportamiento fuera de patrón (14%). Lea ahora: Seguridad post-compromiso: qué hacer cuando los piratas informáticos entran