Según el último Informe de Ciberamenazas de Travelers, los grupos de ransomware han dejado de lado los eventos de compromiso masivo mediante la explotación de vulnerabilidades y se han inclinado por métodos fiables y repetibles para acceder a las redes de las víctimas.
Estas tácticas incluyen el uso de credenciales débiles en cuentas de VPN y puertas de enlace que no están protegidas por la autenticación multifactor (MFA).
Los investigadores observaron que esta actividad comenzó a consolidarse en la segunda mitad de 2023 y se extendió ampliamente entre los operadores de ransomware y los intermediarios de acceso inicial (IAB) a lo largo de 2024.
El informe destacó un manual de entrenamiento sobre ransomware escrito por un IAB, filtrado en el verano de 2023, que resaltó este cambio.
El manual recomendaba que, en lugar de centrarse en descubrir la próxima vulnerabilidad de día cero, los actores de ransomware deberían implementar herramientas para buscar nombres de usuario predeterminados como «admin» o «test» y probar combinaciones de contraseñas comunes para descubrir credenciales débiles que pudieran atacar.
En 2024, no se detectó ninguna vulnerabilidad que provocara exploits masivos de ransomware.
Esta es una marcada diferencia con respecto a 2023, donde una parte significativa de la actividad de sitios de filtración de ransomware se atribuyó a exploits en productos de software comunes, como MOVEit y el software de transferencia de archivos GoAnywhere.
Varios grupos de ransomware aprovecharon estas vulnerabilidades para explotar al máximo número de víctimas posible en poco tiempo.
El informe reveló que la actividad de ransomware alcanzó niveles récord en el cuarto trimestre de 2024, con 1663 nuevas víctimas registradas en sitios web con filtraciones.
Esto representa un aumento del 32 % en comparación con el tercer trimestre de 2024, siendo el cuarto trimestre el que registró el mayor nivel de actividad de ransomware en un solo trimestre por la aseguradora, eclipsando el tercer trimestre de 2023.
Noviembre registró el mayor número de víctimas de sitios web con filtraciones de ransomware del trimestre, con 629. A esto le siguió un descenso relativo a 516 en diciembre.
Los investigadores afirmaron que este patrón se alinea con las tendencias históricas de aumento de la actividad a principios de la temporada navideña, seguido de un descenso posterior al comenzar el año nuevo.
A lo largo de 2024, se registraron 5243 víctimas de ransomware en sitios de filtraciones, un aumento del 15 % con respecto a los 4548 incidentes registrados en 2023.
El informe también registró un aumento del 67 % en los nuevos grupos de ransomware formados en 2024 en comparación con 2023, con 55 nuevos grupos observados el año pasado.
Esto indica una rápida proliferación de actores más pequeños y ágiles en el ecosistema del ransomware tras la interrupción de los principales operadores de ransomware como servicio (RaaS), como LockBit y Clop, por parte de las fuerzas del orden.
RansomHub registró el mayor número de ataques en el cuarto trimestre de 2024, con 238, lo que representa el 14 % del total.
Le siguieron Akira y Play, con 133 y 95 ataques, respectivamente.