8 de cada 10 ataques de ransomware provienen de errores de configuración comunes

Redacción Silicon,
Linkedin

Microsoft advierte sobre la expansión del ransomware como servicio, que reduce la barrera de entrada para los atacantes.

El ransomware, y de forma notable el ransomware como servicio (RaaS), se ha convertido en un modelo dominante de negocio para los delincuentes.

El RaaS permite a más personas realizar ataques, aunque no cuenten con extensos conocimientos técnicos. “Dado que los actores de RaaS venden su experiencia a cualquiera que esté dispuesto a pagar, los ciberdelincuentes en ciernes, sin siquiera tener la destreza técnica necesaria para utilizar puertas traseras o diseñar sus propias herramientas, pueden acceder a una víctima, utilizando sencillamente aplicaciones de pruebas de intrusión y de administración de sistemas ya preparadas para realizar ataques”, explican desde Microsoft.

La compañía de Redmond ha publicado la segunda edición de su informe Cyber Signals sobre ciberamenazas, que constata que se está reduciendo la barrera de entrada para los atacantes.

A través de RaaS se puede comprar el acceso a payloads del ransomware, datos e infraestructura de pago. “Los grupos cibercriminales de ransomware son, en realidad, programas RaaS como Conti o REvil, utilizados por muchos actores diferentes“, apunta Microsoft. Ahora existen brokers de acceso que facilitan esa posibilidad de acceder a las redes. Y, a partir de ahí, se puede crear una cadena de ataques.

El número y la sofisticación de estos ataques se ha incrementado. Según datos de Microsoft, más del 80 % de los ataques de ransomware son rastreables como errores de configuración comunes tanto a nivel de software como en los dispositivos.

Entre julio de 2021 y junio de 2022, Microsoft eliminó más de 531 000 URLs y 5400 kits de phishing y terminó cerrando unas 1400 cuentas de correo electrónico que estaban siendo utilizadas para recabar credenciales de sus clientes.

Con los correos electrónicos de phishing, los delincuentes tardan 1 hora y 12 minutos de media en acceder a los datos privados de sus víctimas. En el caso de amenazas a endpoints, el tiempo para que el atacante comience a moverse lateralmente dentro de la red es de 1 hora y 42 minutos.