Ivanti, proveedor de la plataforma de automatización Ivanti Neurons que descubre, gestiona, seguriza y da servicio a los activos de TI desde la nube hasta el dispositivo, ha publicado los resultados del Ransomware Index Report del primer trimestre de 2022, realizado en colaboración con Cyber Security Works, una autoridad de numeración certificada (CNA), y Cyware, el proveedor de referencia de Cyber Fusion, SOAR de próxima generación y soluciones de inteligencia de amenazas.
El informe identificó un aumento del 7,6 % en el número de vulnerabilidades vinculadas al ransomware en el primer trimestre de 2022, con Conti explotando la mayoría de ellas. Desveló también 22 nuevas vulnerabilidades relacionadas con el ransomware (que elevan el total a 310) y relacionó a Conti – un prolífico grupo de ransomware que apoyó al gobierno ruso tras la invasión de Ucrania – con 19 de esas nuevas vulnerabilidades.
El informe reveló también un aumento del 7,5 % en los grupos APT asociados al ransomware y del 6,8 % en las vulnerabilidades explotadas activamente y de tendencia, junto con un incremento del 2,5 % en las familias de ransomware.
Según el informe, tres nuevos grupos de amenazas avanzadas persistentes, APT(Exotic Lily, APT 35, DEV-0401) empezaron a utilizar el ransomware como método de ataque en el primer trimester de 2022; 10 nuevas vulnerabilidades activas y de tendencia se asociaron al ransomware (elevando el total a 157), y cuatro nuevas familias de ransomware (AvosLocker, Karma, BlackCat, Night Sky) fueron activadas.
Además, el informe reveló que los operadores de ransomware continuaron convirtiendo en auténticas armas las vulnerabilidades, con un grado de rapidez desconocido hasta el momento, enfocándose en aquellas que generan la máxima distorsión e impacto. El aumento de la sofisticación de los grupos de ransomware, ha provocado que las vulnerabilidades se exploten en los ocho días siguientes a la publicación de los parches por parte de los distribuidores.
También, que cualquier mínimo descuido en las medidas de seguridad por parte de los proveedores y las empresas, es suficiente para que los grupos de ransomware puedan entrar e infiltrar redes vulnerables. Para agravar aún más la situación, algunos de los escáneres más utilizados no están detectando ciertas vulnerabilidades clave de ransomware. Según el estudio, más del 3,5 % de vulnerabilidades asociadas al ransomware se pasan por alto, exponiendo a las organizaciones a gravísimos riesgos.
Aaron Sandeen, director general de Cyber Security Works, declaró: «El hecho de que los escáneres no detecten las vulnerabilidades críticas del ransomware, supone un serio problema para las organizaciones Como parte de la investigación y análisis del proyecto, los expertos de CSW llevaron a cabo un seguimiento exhaustivo; como consecuencia, se apreció un descenso en el número de vulnerabilidades, lo que significa que los fabricantes de escáneres se lo están tomando en serio. Aún así, existen todavía 11 vulnerabilidades de ransomware que los escáneres no están detectando, cinco de ellas calificadas como críticas y asociadas a conocidas bandas como Ryuk, Petya y Locky.»
El informe de Ivanti reveló que el NVD carece de Enumeración de Debilidades Comunes (CWE) para 61 vulnerabilidades, mientras que la lista CAPEC no dispone de CWE para 87 vulnerabilidades. También, que por término medio una vulnerabilidad de ransomware se incorpora al NVD una semana después de ser revelada por un proveedor. Al mismo tiempo, 169 vulnerabilidades vinculadas al ransomware aún no se han añadido a la lista KEV de CISA. Mientras tanto, los piratas informáticos de todo el mundo se centran activamente en 100 de estas vulnerabilidades, explorando las organizaciones en busca de una instancia sin parches para explotarla.
Srinivas Mukkamala, Vicepresidente Senior y Director General de Productos de Seguridad en Ivanti, declaró: «Los actores de amenazas están apuntando cada vez más a los fallos en la higiene cibernética, incluyendo la vulnerabilidad de la legitimidad de los procesos de gestión. Hoy en día, muchos equipos de seguridad y de TI se esfuerzan por identificar los riesgos del mundo real que representan las vulnerabilidades y, por tanto, las priorizan incorrectamente para su corrección. Por ejemplo, en muchos casos solo atenderán nuevas vulnerabilidades o aquellas que hayan sido divulgadas en el NVD. Otros, únicamente utilizarán el Common Vulnerability Scoring System (CVSS) para clasificarlas y priorizarlas.Con el fin de proteger mejor a las organizaciones contra los ciberataques, los equipos de seguridad y de TI necesitan adoptar una estrategia basada en el riesgo para gestionar la vulnerabilidad.«.
El informe analizó también a 56 fabricantes de aplicaciones del sector sanitario, dispositivos médicos y hardware utilizados en hospitales y centros de salud, y descubrió 624 vulnerabilidades únicas en sus dispositivos. Cuarenta de esas vulnerabilidades tienen exploits públicos, y dos de ellas (CVE-2020-0601 y CVE-2021-34527) están asociadas a cuatro operadores de ransomware (BigBossHorse, Cerber, Conti y Vice Society). Lamentablemente, esto podría suponer un indicio de futuros ataques de ransomeware más agresivos dirigidos al sector sanitario en los próximos meses.
Anuj Goel, cofundador y director general de Cyware, afirmó: «El ransomware es en estos momentos uno de los vectores de ataque más comunes y que más están afectando a los resultados de las organizaciones a nivel mundial. Los resultados del informe de este primer trimestre, destaca este hecho con nuevas cifras que muestran un aumento del número de vulnerabilidades de ransomware y de las APT que lo utilizan”.
