Con el aumento de las responsabilidades y la falta de experiencia en materia de ciberseguridad, los profesionales de TI están más desbordados que nunca, lo que aumenta la probabilidad de que una amenaza consiga sortear sus defensas. Para complicar aún más las cosas, los ciberdelincuentes cuentan ahora con la ayuda de la inteligencia artificial (IA), que les permite implementar y automatizar ataques sofisticados.
Recientemente se ha publicado el Informe de Acronis sobre las amenazas en el primer semestre de 2024, en el que se detallan estos y otros desafíos para las empresas de todo el mundo. En este informe, exploramos nuevos grupos de ransomware, cambios en los patrones de ransomware y ataques emergentes a apps de colaboración, así como avances importantes en las amenazas impulsadas por IA.
Hallazgos principales del informe:
- Bahréin, Egipto y Corea del Sur fueron los países más afectados por los ataques de malware en el primer trimestre de 2024.
- En el primer trimestre de 2024, Acronis bloqueó casi 28 millones de direcciones URL en endpoints, lo que supone un 3 % más con respecto al cuarto trimestre de 2023.
- El 27,6 % de todos los mensajes de correo electrónico recibidos era spam, y el 1,5 % contenía malware o enlaces de phishing.
- Cada muestra de malware tenía una vida útil promedio de 2,3 días en circulación antes de desaparecer; el 82 % de las muestras solo se ven una vez.
- En el primer trimestre de 2024 se notificaron públicamente 1048 casos de ransomware, un 23 % más que en el primer trimestre de 2023.
- Tres grupos muy activos fueron los principales responsables de los ataques de ransomware, ya que en conjunto perpetraron el 35 % del total de ataques.
- LockBit representó el 20 % de los ataques de ransomware, seguido de Black Basta y Play, responsables de un 7,1 % y un 7,0 % de los ataques respectivamente.
Se ha conseguido desarticular a LockBit, pero las bandas de ransomware persisten
Acronis ha observado un aumento del 5 % en el número de nuevas muestras de malware en circulación desde el cuarto trimestre de 2023. Si nos centramos en el ransomware, los primeros meses de 2024 los dominaron LockBit, Play, 8Base, Black Basta y Hunters International, la banda de ransomware más activa. Estos grupos, lamentablemente demasiado conocidos, siguen causando estragos en organizaciones de todo el mundo.
La actividad de ransomware sigue aumentando año tras año, pero los datos revelan una disminución del 46 % en los pagos de rescate en el primer semestre de este año. Esta disminución parece indicar un dato prometedor: las organizaciones son cada vez más ciberresilientes y las entidades públicas y privadas han mejorado sus esfuerzos en materia de seguridad. A pesar de que los ataques de ransomware son más fáciles de lanzar, la rentabilidad se vio obstaculizada.
Cabe destacar otra victoria: la Agencia Nacional contra el Crimen del Reino Unido (NCA) logró un avance histórico en la lucha contra el grupo de ransomware LockBit. Con el apoyo de Europol, la NCA lideró la operación Cronos. Gracias a esta operación, que duró varios meses, se logró tomar el control de la plataforma principal y la infraestructura crítica de LockBit, incluidos 34 servidores en Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y Reino Unido. Sin embargo, LockBit volvió a aparecer y a reanudar sus actividades delictivas a pesar de la detención de algunos de sus principales responsables.
Aunque los pagos de ransomware disminuyeron y las operaciones de ransomware se vieron interrumpidas de forma considerable, las detecciones diarias de ransomware aumentaron un 32 % entre el último trimestre de 2023 y el primero de 2024. Además, en el primer trimestre de 2024 surgieron 10 nuevos grupos de ransomware:
1. Mogilevich (7)
2. RansomHub (22)
3. dAn0n (8)
4. DarkVault (14)
5. Red (12)
6. Trisec (3)
7. Slug (1)
8. MyData (9)
9. Embargo (5)
10. BlackOut (3)
El phishing sigue siendo la principal amenaza, pero el malware es la amenaza n.º 1 para las apps de colaboración
Las organizaciones experimentaron un aumento importante de las comunicaciones por correo electrónico en el primer semestre, con un incremento del 25 % en el número de mensajes por organización. Este aumento del volumen de correos electrónicos ha ido acompañado de un preocupante incremento del 47 % en los ataques por correo electrónico dirigidos a estas organizaciones.
Entre los ataques, el 26 % de los usuarios se encontró con intentos de phishing a través de direcciones URL maliciosas, lo que demuestra que los ciberdelincuentes siguen confiando en lo que sigue siendo el tipo de ataque más habitual. Además, el 13 % de los usuarios recibió malware por correo electrónico, lo que pone de manifiesto los diversos métodos que emplean los atacantes para comprometer los sistemas y robar información confidencial. Por último, la ingeniería social aumentó un 5 % desde la primera mitad de 2023, pero los ataques de malware, en cambio, disminuyeron del 11 % en el primer semestre de 2023 al 4 % en el mismo período de 2024.
A medida que más empresas confían en apps de colaboración como las de Microsoft 365, los ataques dirigidos a estas aplicaciones, incluido Microsoft Teams, están en alza. Aunque el phishing es un método de ataque popular en las apps de colaboración (20 %), el 82 % de los ataques en la primera mitad del año fueron ataques de malware.
La IA generativa en el cibercrimen: la nueva protagonista indiscutible
El uso indebido de la IA generativa y de los modelos de lenguaje de gran tamaño (LLM) ha contribuido a perpetuar los ataques a lo largo del primer semestre. Queríamos hacer una distinción clara para ayudar a las organizaciones centradas en la seguridad a comprender mejor los ataques que emplean inteligencia artificial. El Informe de Acronis sobre las ciberamenazas en el primer semestre de 2024 define dos tipos de amenazas de IA que se utilizan comúnmente como sinónimos: amenazas generadas por IA y malware basado en IA.
El término "amenazas generadas por IA" se utiliza tanto en titulares como en la comunidad de ciberseguridad. En Acronis, queremos hacer hincapié en el adjetivo "generadas". Estos son los tipos de malware y amenazas que se crean con técnicas de inteligencia artificial, pero que no la incorporan en sus operaciones. En este caso, la IA es simplemente una herramienta que se emplea para crear malware y amenazas.
En cuanto al "malware basado en IA", el término es más complejo. Definimos este término como el malware que sí integra la inteligencia artificial en sus operaciones. Este tipo de malware puede contener un modelo de IA completo, como un modelo de lenguaje de gran tamaño (LLM), pero lo más habitual es que se comunique con un modelo de IA de backend para la lógica. Las amenazas de malware basado en IA pueden adaptarse a su entorno y modificar su comportamiento.
El informe aborda seis ataques generados por IA que hemos observado: correos electrónicos maliciosos, tecnologías de deepfake utilizadas para vulnerar correos electrónicos de empresas, extorsiones con deepfake, elusión de los controles de conocimiento del cliente (KYC), generación de scripts y generación de malware. El equipo de los Centros de operaciones de Acronis Cyber Protect también comparte recomendaciones prácticas para MSP y empresas basadas en los resultados del informe.
Los expertos recomiendan reforzar la formación en concienciación sobre seguridad y consolidar las soluciones
Brindar a los empleados de los MSP y de las empresas formación en las mejores prácticas de ciberseguridad ha demostrado ser eficaz frente al prolífico panorama de amenazas. Como hemos visto un descenso notable en la rentabilidad del ransomware, es posible que la mejora de la concienciación en materia de seguridad y de las medidas de seguridad haya contribuido a este logro. Tanto los esfuerzos personales como las tecnologías de ciberseguridad son partes iguales imprescindibles para la ciberresiliencia.
Por un lado, la formación en concienciación sobre seguridad permite a los empleados reconocer e informar sobre intentos de phishing, tácticas de ingeniería social y actividades sospechosas. Por otro lado, reforzar las medidas de seguridad no solo implica invertir en tecnologías de vanguardia, sino también adoptar un enfoque integrado de la ciberseguridad y la protección de datos para mejorar la gestión de TI, la eficacia y el rendimiento, y reducir así los costes y los problemas de compatibilidad. Con soluciones integradas como Acronis XDR, los MSP pueden hacer que su oferta de seguridad sea más competitiva, a la vez que aumentan la visibilidad y la protección en todas las superficies de ataque.
Descargue el informe para descubrir las principales amenazas y tendencias de ciberseguridad de la primera mitad de 2024.
