AUSTIN, TX, 18 de septiembre de 2024/CyberNewsWire/--La investigación indica que una infección de malware de robo de información suele ser un precursor de un ataque de ransomware SpyCloud, el líder en análisis de delitos cibernéticos, anunció hoy una nueva investigación de ciberseguridad que destaca la creciente y alarmante amenaza de los ladrones de información, un tipo de malware diseñado para exfiltrar datos de identidad digital, credenciales de inicio de sesión y cookies de sesión de los dispositivos infectados.
Los últimos hallazgos de SpyCloud revelan la asombrosa escala de exposición de identidad causada por los ladrones de información, la influencia que este tipo de malware ha tenido en el aumento de incidentes de ransomware y las profundas implicaciones para las empresas de todo el mundo.
Según SpyCloud, el 61% de todas las violaciones de datos del año pasado estuvieron relacionadas con malware, y los ladrones de información fueron responsables del robo de 343,78 millones de credenciales.
Estas credenciales robadas luego se venden en comunidades criminales para utilizarlas en ataques posteriores.
La investigación también encontró que una de cada cinco personas ha sido víctima de una infección por robo de información.
Cada infección, en promedio, expone entre 10 y 25 credenciales de aplicaciones comerciales de terceros, lo que crea un terreno fértil para un mayor acceso y explotación, en particular por parte de operadores de ransomware.
“Nuestros últimos hallazgos revelan un cambio crítico en el panorama de la ciberseguridad”, afirmó Damon Fleury, director de productos de SpyCloud.
“Los ladrones de información se han convertido en la herramienta preferida de los cibercriminales, con su capacidad de extraer datos valiosos en cuestión de segundos, creando una pista para ciberataques como el ransomware a partir de las grandes cantidades de acceso robado a SSO, VPN, paneles de administración y otras aplicaciones críticas”.
El vínculo entre los ladrones de información y el ransomware es cada vez más evidente.
A través de un análisis profundo de los registros de robo de información recuperados, SpyCloud descubrió una tendencia preocupante: las empresas con empleados y contratistas infectados con malware de robo de información tienen significativamente más probabilidades de sufrir un ataque de ransomware.
De hecho, casi un tercio de las empresas que sufrieron un ataque de ransomware el año pasado habían sufrido previamente una infección por robo de información.
Según el informe, esto se basa en incidentes conocidos públicamente y eventos de ransomware confirmados. La exposición real es potencialmente incluso mayor, ya que no todos los incidentes de ransomware se hacen públicos.
“La correlación entre las infecciones causadas por ladrones de información y los posteriores ataques de ransomware es una llamada de atención para las empresas”, afirmó Trevor Hilligoss, vicepresidente de SpyCloud Labs, SpyCloud.
“Sin embargo, este campo es increíblemente complejo y evoluciona rápidamente. Este año, estamos viendo nuevas familias de ladrones de información que hacen uso de capacidades ampliadas, como el cifrado avanzado para permanecer ocultos o la capacidad de restaurar cookies de autenticación vencidas para un acceso más persistente”.
La amenaza de los ladrones de información se ve exacerbada aún más por el auge del malware como servicio (MaaS). Este modelo estándar permite que incluso los cibercriminales poco cualificados adquieran e implementen malware sofisticado, incluidos los ladrones de información, con facilidad.
A través de MaaS, estos delincuentes pueden adquirir datos de identidad nuevos y precisos en masa, alimentando el ciclo del cibercrimen.
Los hallazgos de SpyCloud también arrojan luz sobre la evolución de los ataques de apropiación de cuentas (ATO), impulsados por ladrones de información.
A diferencia del ATO tradicional, que se basa en credenciales robadas (combinaciones de nombre de usuario y contraseña), el ATO de próxima generación aprovecha las cookies de sesión robadas para eludir los métodos de autenticación tradicionales en lo que se conoce como secuestro de sesión.
Al tomar el control de estas sesiones ya autenticadas, los ciberdelincuentes pueden imitar a usuarios legítimos e infiltrarse en las redes sin ser detectados.
Este método aumenta significativamente la tasa de éxito de los ataques y representa una grave amenaza para la seguridad de la organización.
“La gran cantidad de credenciales y cookies de sesión que sustraen los ladrones de información es asombrosa”, afirmó Hilligoss.
“Solo en los últimos 90 días, SpyCloud ha recuperado más de 5.400 millones de registros de cookies robados, con un promedio de casi 2.000 registros expuestos por dispositivo infectado. Este vasto conjunto de datos es cada vez más utilizado por los operadores de ransomware y los intermediarios de acceso inicial para facilitar sus ataques, lo que pone de relieve la necesidad de estrategias de defensa avanzadas”.
Al menos el 54% de los dispositivos infectados por ladrones de información en la primera mitad de 2024 tenían instaladas soluciones antivirus o de detección y respuesta de endpoints (EDR), lo que subraya las limitaciones de las medidas de ciberseguridad tradicionales para combatir las técnicas utilizadas por los ciberdelincuentes modernos.
Además, los ladrones de información y los ataques de secuestro de sesiones hacen que la autenticación multifactor (MFA) y los métodos de autenticación sin contraseña, como las claves de acceso, sean ineficaces.
Al secuestrar sesiones ya autenticadas, los ciberdelincuentes pueden hacerse pasar por usuarios legítimos y eludir incluso los métodos de autenticación más sólidos.
Los hallazgos de SpyCloud lo dejan claro: la mitigación tradicional de malware ya no es suficiente e ignorar el problema solo agrava el impacto en las empresas.
Las organizaciones deben ir más allá de simplemente eliminar infecciones y centrarse en remediar los riesgos a largo plazo que plantean los datos expuestos.
Esto incluye restablecer las credenciales de aplicaciones comprometidas e invalidar las cookies de sesión obtenidas por los ladrones de información.
Al comprender los riesgos que plantean los ladrones de información y trabajar para mitigar los datos que se han exfiltrado, las organizaciones pueden limitar la probabilidad de ciberataques devastadores, como ransomware, que se derivan de estos datos robados.
SpyCloud mantiene su compromiso de ayudar a las organizaciones a afrontar estos desafíos y proteger sus activos digitales.
Los lectores pueden descargar la versión completa
Para obtener más información sobre cómo SpyCloud ayuda a las organizaciones a defenderse del ransomware, los lectores pueden visitar
Para esto
El informe examina las principales preocupaciones y los impactos reales del ransomware, incluidos los puntos de entrada más populares, los pagos de rescate y los costos acumulativos de estos ataques para la empresa.
También destaca las principales estrategias de prevención de amenazas cibernéticas y las futuras prioridades de seguridad identificadas por estos expertos.
Los datos de SpyCloud sobre violaciones, dispositivos infectados con malware y phishing exitosos también impulsan muchas ofertas populares de monitoreo de la dark web y protección contra el robo de identidad.
Los clientes incluyen más de la mitad de las empresas Fortune 10, junto con cientos de empresas globales, compañías medianas y agencias gubernamentales de todo el mundo.
Con sede en Austin, Texas, SpyCloud es el hogar de más de 200 expertos en ciberseguridad cuya misión es proteger a las empresas y a los consumidores de los datos de identidad robados que los delincuentes están usando para atacarlos ahora.
Para obtener más información y ver información sobre los datos expuestos de su empresa, los lectores pueden visitar
Vicepresidente Ejecutivo de Relaciones Públicas
Katie Hanusik
REQ en nombre de SpyCloud
Esta historia fue distribuida como un comunicado de prensa de Cyberwire en el marco del programa de blogs empresariales de HackerNoon. Obtenga más información sobre el programa aquí