El ransomware es una de las mayores amenazas de ciberseguridad en la actualidad, y su éxito depende en gran medida del elemento sorpresa. Sin embargo, un informe reciente de SpyCloud revela un patrón preocupante: casi un tercio de los ataques de ransomware en 2023 estuvieron precedidos por infecciones de infostealer. Esta tendencia abre una nueva ventana de discusión sobre si la detección temprana de estos malware puede servir como una alerta para preparar defensas más sólidas y prevenir ataques mayores.

El papel de los infostealers en los ataques de ransomware.

Un infostealer es un tipo de malware diseñado para robar información valiosa, como contraseñas, cookies de sesión, credenciales de cuentas bancarias y otros datos almacenados en navegadores y aplicaciones. Este tipo de malware ha ganado popularidad entre los ciberdelincuentes debido a su capacidad de infiltrarse en sistemas sin ser detectado, exfiltrando información crítica que luego puede ser utilizada para facilitar ataques de ransomware.

Según el informe de SpyCloud, en 2023, casi el 30% de los ataques de ransomware fueron precedidos por infecciones de infostealer en un periodo de hasta 16 semanas antes del ataque. Esta información es crucial, ya que sugiere que los infostealers podrían ser el primer paso en una cadena de ataque más compleja, donde las credenciales robadas permiten un acceso continuo y discreto a los sistemas hasta que los atacantes estén listos para desplegar el ransomware.

Casos recientes de ataques con infostealers.

El informe de SpyCloud destaca varios ejemplos donde los infostealers jugaron un papel crucial en los ataques de ransomware. Un caso emblemático es el ataque del grupo Qilin, que logró infiltrarse en una empresa mediante un portal VPN comprometido. Después de 18 días, desplegaron un infostealer personalizado para robar credenciales de Google Chrome antes de lanzar su ataque de ransomware.

Este ejemplo refleja un patrón común en la actualidad: los ciberdelincuentes están utilizando infostealers como una herramienta estratégica para allanar el camino hacia ataques más devastadores. Stephen Robinson, analista de inteligencia de amenazas en WithSecure, investigó un caso similar donde un grupo vietnamita de malware-as-a-service (MaaS) utilizó DarkGate, un troyano que combina capacidades de robo de credenciales y ransomware, contra compañías del sector de marketing digital.

¿Es posible predecir un ataque de ransomware mediante la detección de un infostealer?

La gran pregunta que surge de estos datos es si la detección de un infostealer en una red puede predecir un próximo ataque de ransomware. Según algunos expertos, la respuesta depende del contexto. Por ejemplo, si una gran multinacional detecta un infostealer en su sistema, la posibilidad de que esté en la antesala de un ataque de ransomware es alta. En contraste, para una pequeña empresa o un usuario individual, la amenaza puede ser menos inminente.

A pesar de la correlación observada entre infostealers y ransomware, Stephen Robinson argumenta que las primeras etapas de un ataque tienden a ser similares sin importar el actor de la amenaza. Esto significa que, aunque se detecte un infostealer, no siempre se puede prever si el siguiente paso será un ataque de ransomware, robo de criptomonedas u otra forma de cibercrimen. Sin embargo, los expertos coinciden en que la detección temprana es clave para mitigar el daño.

Recomendaciones para las empresas: actuar rápidamente.

Ante la posibilidad de un ataque de ransomware tras la detección de un infostealer, los especialistas en ciberseguridad recomiendan actuar con rapidez. Esto incluye identificar la fuente de la infección, realizar un análisis completo de los datos robados, y restablecer todas las credenciales afectadas, incluidas las claves API y tokens de autenticación. Cuanto más rápido se realicen estos pasos, más difícil será para los actores maliciosos aprovechar la información robada para lanzar un ataque de ransomware exitoso.

La creciente amenaza de los infostealers destaca la necesidad de mejorar las defensas corporativas. Además de implementar soluciones avanzadas de ciberseguridad, como el uso de autenticación multifactor, es crucial formar a los empleados en la detección de phishing y otros vectores de ataque basados en ingeniería social, que a menudo son el punto de entrada para estos malware.

Fuente: https://www.darkreading.com/cybersecurity-analytics/infostealers-early-warning-ransomware-attacks