NCC Group ha publicado su informe mensual de amenazas de marzo de 2023, NCC Group Monthly Threat Pulse March 2023, donde revela que el volumen de ataques de ransomware experimentó en este mes un incremento del 91% (459), con respecto al mes de febrero (240), y del 62 % en comparación con marzo de 2022. Estas cifras, recogidas por el equipo Global Threat Intelligence de NCC Group, suponen un máximo histórico. Es probable que este enorme aumento de los ataques esté relacionado con la vulnerabilidad MFT (Managed File Transfer) de GoAnywhere, que está siendo explotada en todo el mundo, y que fue utilizada por Cl0p, la red de ciberamenazas más activa del mes de marzo.
“En marzo observamos un aumento sin precedentes en los ataques de ransomware, el número más alto que jamás haya visto el equipo de Global Threat Intelligence de NCC Group. Esta es una indicación de que el panorama de amenazas se encuentra en constante evolución, y apunta el patrón de ataques que podemos esperar que surjan a lo largo de 2023. Es más importante que nunca que las organizaciones se mantengan alerta y practiquen una buena higiene de seguridad, lo que incluye asegurarse de que los sistemas están parcheados y de que se han realizado correctamente las copias de seguridad”.
Índice de temas
Principales bandas cibercriminales dedicadas al ransomware
El proveedor de ransomware como servicio (ransomware-as-a-service) Cl0p ha sido el grupo organizado más activo a lo largo del mes de marzo, explotando la vulnerabilidad GoAnywhere en repetidas ocasiones. En total perpetró 129 ataques, lo que supone el 28% de las víctimas totales. Esta es la primera vez que Cl0p alcanza esta posición y, si su nivel de actividad continúa, es probable que supere sus volúmenes anuales previos.
LockBit 3.0 ocupó el segundo lugar, acaparando el 21 % de los ataques de ransomware –un total de 97–. Es la segunda vez que esta banda delictiva ha sido apartada de la primera posición del ranking desde septiembre de 2021. A pesar de que las cifras de ransomware se han disparado en marzo, Lockbit 3.0 experimentó un descenso del 25% con respecto a los 129 ataques que el equipo Global Threat Intelligence de NCC Group registró en febrero.
La tercera posición correspondió a Royal, un grupo del que no se conocen afiliaciones con estados y que se caracteriza por fijar sus objetivos en sectores muy diversos. Suyos fueron 31 ataques –el 7 % del total–, un 106 % más que en febrero.
“Cl0p ha creado una tormenta después de explotar la vulnerabilidad GoAnywhere, superando incluso a LockBit 3.0 como el actor más prolífico. Esta es la primera vez que vemos a Cl0p tomar una posición de liderazgo y, si sus operaciones se mantienen constantes, podemos esperar que siga siendo una amenaza frecuente durante todo el año. Les estamos vigilando de cerca a medida que evolucionan”, apunta Matt Hull.
En cuanto a las regiones más afectadas, la tendencia se mantiene con respecto al mes de febrero. En este caso, América del Norte fue el objetivo de casi la mitad de la actividad de marzo con 221 víctimas (48 %), seguida por Europa (28 %) y Asia (13 %), con 126 y 59 ataques respectivamente.
El sector de la industria, el más afectado
Por otro lado, el sector que sufrió más ataques de ransomware en marzo de 2023 fue el industrial, con 147 que representaron el 32% del global. A continuación se situaron el de Consumo, con 60 ataques (13 %) y el tecnológico, con 56 ataques (12 %).
¿Por qué Cl0p acapara la atención en marzo?
Este proveedor de Ransomware-as-a-Service (RaaS) reclamó el centro de atención durante el mes de marzo después de que su actividad evolucionara significativamente y aumentara sus operaciones. En su campaña más reciente, Cl0p explotó la transferencia de archivos administrados (MFT) de GoAnywhere, utilizada por más de 3.000 organizaciones, lo que provocó una gran irrupción dentro del panorama general de amenazas.
Además, es importante señalar que no es la primera vez que Cl0p hackea de un modo masivo un gran número de organizaciones utilizando la explotación de una vulnerabilidad en un producto de terceros. Esta red delictiva ya fue responsable de los ataques de Accellion, que ocurrieron a finales de 2020 y comienzos de 2021.
Por otro lado, dado que Cl0p es un proveedor de ransomware como servicio, varios afiliados también explotaron la cepa utilizada en sus ataques. Esta red delictiva ha estado vinculada a otras bandas de hackers con anterioridad, especialmente a TA505 y FIN11, y, de hecho, en la campaña contra el MFT de GoAnywhere, los ataques han sido atribuidos a otros actores más que la propia Cl0p.