AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Disminuyen un 46% los ataques de ransomware en el segundo trimestre de 2024: Análisis técnico y perspectivas

admin

#### Introducción

El segundo trimestre de 2024 ha marcado un punto de inflexión en el panorama del ransomware a nivel global. Según los últimos informes especializados, la cantidad de ataques detectados ha experimentado una caída significativa, con una reducción cercana al 46% respecto al trimestre anterior. Este descenso, inusual en un contexto de amenazas persistentes y adaptación continua de los grupos criminales, requiere un análisis en profundidad para comprender sus causas, implicaciones y el futuro de esta amenaza.

#### Contexto del Incidente o Vulnerabilidad

Durante los últimos años, el ransomware se ha consolidado como una de las amenazas más lucrativas y disruptivas para las organizaciones, especialmente tras la proliferación del modelo Ransomware-as-a-Service (RaaS) y la evolución hacia ataques dirigidos a infraestructuras críticas. Sin embargo, entre abril y junio de 2024, los principales observatorios de inteligencia de amenazas y CERTs europeos han reportado una disminución drástica en la actividad de grupos como LockBit, BlackCat/ALPHV y Cl0p. Este retroceso coincide con actuaciones policiales internacionales, cambios en el modus operandi de los cibercriminales y un mayor endurecimiento normativo, especialmente tras la entrada en vigor de la directiva NIS2 en la Unión Europea.

#### Detalles Técnicos

La reducción de incidentes de ransomware se ha visto reflejada en el descenso de notificaciones de compromisos (IoC) asociados a exploits como CVE-2024-23897 (vulnerabilidad crítica en servidores Apache Tomcat) y CVE-2024-29988 (fallo de día cero en Microsoft Exchange), ambos ampliamente utilizados por actores de amenazas en la primera mitad del año.

Los vectores de ataque más frecuentes siguen siendo:

– **Phishing dirigido (spear phishing)**: Correos maliciosos con archivos adjuntos o enlaces a payloads, habitualmente ejecutados mediante PowerShell o scripting avanzado (T1059, MITRE ATT&CK).
– **Explotación de vulnerabilidades sin parchear**: Ataques automatizados a servicios expuestos, especialmente VPN y RDP, utilizando frameworks como Metasploit y Cobalt Strike (T1190, T1210).
– **Movimientos laterales**: Uso de herramientas legítimas (Living-off-the-Land, LOLBins) para evadir detección y escalar privilegios (T1086, T1140).

En cuanto a los indicadores de compromiso, se ha detectado una reducción del 35% en la circulación de muestras de malware relacionadas con familias como LockBit 3.0 y BlackBasta en sandboxes y honeypots. No obstante, algunos TTP (Tácticas, Técnicas y Procedimientos) han evolucionado con la adopción de cifrado híbrido (AES-RSA) y mecanismos anti-forense avanzados.

#### Impacto y Riesgos

A pesar de la caída en los volúmenes, el ransomware sigue representando una amenaza crítica. Las pérdidas económicas totales asociadas a incidentes de ransomware en Europa durante el segundo trimestre de 2024 se estiman en torno a los 415 millones de euros, un 28% menos que en el trimestre anterior, según ENISA. Sin embargo, la sofisticación de los ataques y la selección de objetivos de alto valor (infraestructuras críticas, sector sanitario, gobiernos locales) incrementan el riesgo de disrupción operacional y sanciones bajo GDPR y NIS2 por fuga de datos o interrupción de servicios esenciales.

#### Medidas de Mitigación y Recomendaciones

– **Parches y gestión de vulnerabilidades**: Es crucial mantener sistemas actualizados, especialmente los expuestos a Internet, priorizando CVEs explotados activamente.
– **Segmentación de red y control de accesos**: Implementar políticas Zero Trust y restringir el uso de RDP, VPN y privilegios administrativos.
– **Copias de seguridad robustas**: Realizar backups fuera de línea y testear regularmente los procedimientos de restauración.
– **Concienciación y simulacros**: Formar a los empleados en detección de phishing y respuesta ante incidentes.
– **Monitorización y respuesta avanzada**: Utilizar EDR/XDR, análisis de comportamiento y Threat Intelligence para identificar actividad anómala y mitigar TTP conocidos.

#### Opinión de Expertos

Especialistas de entidades como Europol y el CCN-CERT subrayan que la reducción de ataques es coyuntural y posiblemente vinculada al éxito de operaciones internacionales (como la “Operation Cronos” contra la infraestructura de LockBit) y a la presión legislativa de NIS2, que obliga a mejorar los estándares de resiliencia y reporte de incidentes. No obstante, advierten que los actores de ransomware están diversificando sus técnicas, recurriendo a extorsión sin cifrado (“pure extortion”) y a la explotación de nuevos vectores, como ataques a la cadena de suministro y software de terceros.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben evitar caer en la complacencia. El descenso en el volumen de ataques no implica una menor peligrosidad: los incidentes recientes muestran una mayor focalización y daño potencial. El cumplimiento de NIS2, la obligación de reporte a la AEPD en caso de fuga de datos (GDPR) y la tendencia de los cibercriminales a monetizar datos robados mediante doble extorsión hacen imprescindible revisar planes de ciberseguridad, continuidad de negocio y respuesta ante incidentes.

#### Conclusiones

La notable caída en los ataques de ransomware durante el segundo trimestre de 2024 marca un respiro temporal para el sector, pero no debe interpretarse como una victoria definitiva. La adaptación de los grupos criminales, la sofisticación de las técnicas y el endurecimiento de la legislación exigen una vigilancia constante, actualización de controles técnicos y refuerzo de la cultura de ciberseguridad en todos los niveles de la organización.

(Fuente: www.darkreading.com)