El ransomware sigue siendo un poderoso veneno para organizaciones públicas y privadas de todo tipo. Si los medios de defensa implementados por las empresas aumentan, el tiempo para descubrir una infección ransomware tiende a disminuir. Ante esta observación, los ciberatacantes están aumentando sus esfuerzos para reducir el período entre el acceso inicial a un sistema objetivo y el momento en que el ransomware se activa en las entrañas del EI objetivo. Una situación claramente identificada por Secureworks en su último informe. Entre las tendencias más destacadas, el proveedor señala que el tiempo de espera (el momento entre el hackeo de la red y la ejecución del ransomware) ha disminuido significativamente en comparación con años anteriores.

"En poco más del 10% de los casos, el ransomware se implementó dentro de las cinco horas posteriores al acceso inicial", afirma Secureworks. “Casi dos tercios de los ataques se llevaron a cabo en un solo día y casi cuatro quintos en una semana. En aproximadamente una quinta parte de los ataques, el actor de amenazas permaneció en la red durante más de una semana antes de implementar el ransomware. Tres cuartas partes de ellos continuaron presentes en la red durante más de un mes”.

Operaciones de ransomware menos complejas pero más ágiles

En su informe, el proveedor de soluciones de seguridad también señala que la duración media de la activación del ransomware cayó de 5,5 días en 2020 a 4,5 días en 2021 y a poco menos de 24 horas en 2022. Los piratas informáticos saben que el tiempo se acaba antes de ser atacados por la respuesta de las empresas a incidentes y así actuar cada vez más rápido para extraer la mayor cantidad de datos posible o los más relevantes para su negocio (reventa, chantaje, etc.). ). Prefieren, por tanto, operaciones más sencillas, ciertamente menos devastadoras, pero que requerirán mucho menos tiempo.

"Los tiempos de espera en las misiones donde se observó filtración de datos fueron generalmente más largos, pero no siempre es así", dijo Secureworks. "En algunos casos que involucran a Black Basta, Hive y AvosLocker, todos ransomware de doble extorsión, observamos la exfiltración de datos y la implementación de ransomware más rápido que la duración promedio de 24 horas". Secureworks también sostiene que la detección de actividades maliciosas ha “sin duda mejorado”, obligando así a los ciberdelincuentes a actuar más rápidamente, lo que no hace –ni mucho menos– que sus fechorías sean menos dañinas. "La introducción del modelo RaaS (ransomware como servicio) redujo la barrera de entrada, al introducir guías para uso de los afiliados, y permitió que el modelo evolucionara significativamente", explica también la empresa. . “Esto representa una mercantilización del panorama del ransomware donde los operadores de sistemas reducen el costo de las operaciones para aumentar el volumen. [...] Esto no significa en absoluto que el ransomware pueda ignorarse como una amenaza. Incluso una distribución limitada en la red de una víctima puede ser muy perjudicial”.