Por primera vez en los últimos 18 meses, el ransomware ha dejado de ser la principal ciberamenaza para las empresas, pasando a suponer del 25% del total de amenazas al 15% entre abril y junio del presente año.

Así se desprende del último informe trimestral de Cisco Talos. El ‘commodity malware’ se convirtió en la amenaza más frecuente a la que respondió Cisco Talos Incident Response durante el segundo trimestre, acaparando el 20% frente al 15% del ransomware.

Los datos también desvelan que los ciberdelincuentes dirigieron el malware a una amplia gama de sectores como transporte, fabricación y administración pública, siendo telecomunicaciones el más atacado y seguido por educación y salud.

Factores del cambio

Según la investigación de Cisco Talos, es probable que este cambio se deba a diversos factores, como el cese de actividad de algunos grupos de ransomware -ya sea por fractura interna o por las acciones de las fuerzas de seguridad- y el resurgimiento de ciertos troyanos basados en e-mail como Remcos, Vidar, Redline y Qakbot/Qbot (este último un conocido troyano bancario). Phishing, Business Email Compromise y las amenazas persistentes avanzadas (APTs) completan la lista de malware destacado.

A pesar del descenso de actividad, los grupos de ransomware como servicio (RaaS) de alto perfil incluyendo Conti -probablemente rebautizado como ‘Black Basta’- y BlackCat han seguido actuando, dirigiéndose a organizaciones supuestamente capaces de afrontar grandes pagos. De hecho, el ransomware LockBit lanzó una nueva versión que incluye más opciones de pago en criptomoneda.

Cisco Talos también ha seguido detectando técnicas de ingeniería social para incitar a los usuarios a hacer clic o ejecutar un enlace o archivo determinado. Y aunque el principal país objetivo de los ciber-delincuentes sigue siendo Estados Unidos, se mantiene la actividad de ciber-ataques dirigidos a empresas y administraciones en Europa, Asia, Norteamérica y Oriente Medio.