Este apéndice de nuestro Sophos Threat Report 2025 ofrece estadísticas adicionales sobre datos de incidentes y telemetría que detallan las herramientas utilizadas por los ciberdelincuentes que atacan a las pymes. Para obtener una visión más amplia del panorama de amenazas al que se enfrentan las pymes, consulta nuestro informe principal.
Tipos de malware más frecuentes
Las pymes se enfrentan a un amplio abanico de amenazas para sus datos, algunas de las cuales pueden ser precursoras de ataques de ransomware o dar lugar a otras violaciones de seguridad. El ransomware domina el malware observado en los casos de Sophos MDR y Sophos Incident Response desde 2024, y los 10 principales representan más del 25 % de todos los incidentes de MDR e IR registrados a lo largo del año. Pero eso no es todo, ya que casi el 60 % de los incidentes de MDR involucraron amenazas que no tenían que ver con el ransomware.
Las herramientas de comando y control, los cargadores de malware, las herramientas de administración remota y el malware para robar información constituyen la mayor parte del software malicioso detectado dirigido a las pequeñas empresas (aparte del ransomware). Estas herramientas, que no todas son técnicamente malware, se utilizan como parte de la distribución de ransomware y otros ataques ciberdelictivos.
Solo una de las 10 herramientas y programas maliciosos más detectados en los incidentes de MDR e IR de Sophos no entra en esta categoría: XMRig. Se trata de un programa malicioso de minería de criptomonedas que se utiliza a menudo para generar ingresos de forma pasiva antes de que un actor de ransomware venda el acceso o lo explote de otro modo.
Herramientas de doble uso
Una tendencia que continúa desde años anteriores es el uso extensivo por parte de los ciberdelincuentes de software comercial, gratuito y de código abierto para llevar a cabo ataques de ransomware y otras actividades maliciosas. Sophos MDR se refiere a ellos como «herramientas de doble uso», ya que pueden estar presentes en las redes por motivos legítimos, pero los ciberdelincuentes los utilizan con frecuencia con fines maliciosos.
Las herramientas de doble uso se diferencian de los LOLBins en que son aplicaciones completas implementadas y utilizadas según lo previsto por los actores maliciosos, en lugar de componentes y motores de scripts proporcionados por el sistema operativo. Algunas de las herramientas que entran en la categoría de «doble uso» están específicamente orientadas a pruebas de seguridad y destinadas a equipos rojos: Impacket y Mimikatz son herramientas de código abierto creadas específicamente para investigadores de seguridad. Otras, como SoftPerfect Network Scanner y Advanced IP Scanner, están pensadas como herramientas para administradores de red, pero pueden ser utilizadas por ciberdelincuentes para descubrir dispositivos conectados a la red y puertos de red abiertos.
Las herramientas comerciales de acceso remoto son, en conjunto, las herramientas de doble uso más utilizadas en los incidentes de MDR e IR:
Con las herramientas comerciales de acceso remoto, los atacantes suelen hacer un uso indebido de las licencias de prueba o utilizar licencias pirateadas para las versiones que implementan en los equipos objetivo. En muchos casos, esto se hace después de la explotación inicial mediante droppers de malware, shells web u otras herramientas de comando y control. En otros, se lleva a cabo mediante ingeniería social, consiguiendo que la persona objetivo descargue e instale la herramienta por sí misma, como hemos visto en los recientes ataques de «vishing» a Teams.
El uso de herramientas legítimas de gestión de máquinas remotas, especialmente por parte de los autores de ransomware, ha aumentado, aunque las herramientas de acceso remoto al escritorio AnyDesk y ScreenConnect siguen siendo las herramientas comerciales de soporte informático más utilizadas en los incidentes de Sophos MDR e IR. Y la herramienta más común sigue siendo PSExec, un «reemplazo ligero de Telnet» de Microsoft que se utiliza para ejecutar comandos de forma remota y crear sesiones de shell de comandos.
Los clientes de Sophos pueden restringir su uso a través de Sophos Central mediante políticas de control de aplicaciones y deben restringir cualquier herramienta que no se utilice para el soporte informático legítimo.
Herramientas de ataque
Cobalt Strike, Sliver, Metasploit y Brute Ratel son herramientas de pruebas de penetración y no son malware en el sentido legal. Sin embargo, se utilizan con frecuencia para distribuir malware y para el comando y control de ataques de malware. Contar con una herramienta de postexplotación bien documentada y con soporte comercial como estas es una gran ventaja para los ciberdelincuentes, que de otro modo tendrían que crear sus propias herramientas para ampliar su presencia dentro de una organización objetivo.
Cobalt Strike sigue siendo la herramienta de ataque más utilizada, presente en el 8 % de todos los incidentes y en casi el 11 % de los incidentes relacionados con ransomware. Esto supone un descenso significativo con respecto a 2023, cuando Cobalt Strike era la tercera herramienta comercial más utilizada en incidentes de MDR, solo por detrás de las herramientas de acceso remoto AnyDesk y PSExec. Las herramientas basadas en Sliver y Metasploit, que están disponibles como código abierto, se ven con menos frecuencia, y el uso de Brute Ratel por parte de los ciberdelincuentes sigue siendo extremadamente raro.
Programas de robo de información
El malware de robo de información suele ser el primer paso en el manual de estrategias de los brokers de acceso, ya que proporciona contraseñas, cookies y otros datos que pueden utilizarse para cometer fraudes financieros, comprometer el correo electrónico empresarial y lanzar ataques de ransomware, entre otros esquemas.
Lumma Stealer, vendido a través de foros rusos como malware como servicio (MaaS), fue el programa de robo de información más frecuente en los incidentes de MDR y el segundo en los informes generales de detección de endpoints. Una importante campaña de Lumma Stealer que comenzó en octubre lo convirtió en el programa de robo de información más denunciado del último trimestre de 2024, superando con creces al líder del año pasado en este sector MaaS, RaccoonStealer (que lanzó una nueva versión en 2024 tras la interrupción de su infraestructura) y, a finales de año, eclipsando a Strela Stealer (que estaba subiendo en la clasificación, alcanzó su punto álgido a principios de 2024, pero decayó en la segunda mitad del año). Ningún incidente de MDR registrado en 2024 involucró a Strela Stealer.
Detectado por primera vez en agosto de 2022, se cree que Lumma Stealer es el sucesor de Mars Stealer, otro programa de robo de información supuestamente de origen ruso. Este se centra principalmente en carteras de criptomonedas, cookies de sesión del navegador, extensiones de autenticación de dos factores del navegador, direcciones y credenciales de servidores de protocolo de transferencia de archivos almacenadas y otros datos de usuarios y del sistema.
Al igual que otros programas de robo de información (como Raccoon Stealer), Lumma Stealer también puede utilizarse para distribuir malware adicional, ya sea ejecutando archivos ejecutables o scripts de PowerShell, o cargando DLL maliciosas desde su propio proceso. Por lo general, Lumma Stealer se distribuye desde un sitio web comprometido (a menudo una página web CAPTCHA falsa) como una descarga a la que se dirige a las víctimas a través de publicidad maliciosa.
Lumma Stealer suele estar asociado a actividades ciberdelictivas más amplias. Otro ladrón MaaS vendido en foros en ruso, StealC, se ha observado con una correlación mucho mayor con incidentes de ransomware. Introducido en enero de 2023, ha sido calificado por los investigadores como una copia de RaccoonStealer y Vidar.
A nivel regional, cabe destacar Mispadu Stealer, que sigue atacando Latinoamérica (y México en particular). En el segundo trimestre de 2024, fue el segundo ladrón más detectado, solo por detrás de Strela Stealer, con un 74 % de las detecciones procedentes de México. Se ha visto utilizando publicidad maliciosa en la web y en motores de búsqueda, en particular haciéndose pasar por anuncios web de McDonald’s.
Principales amenazas de ransomware
LockBit, más o menos
La familia de ransomware más detectada en 2024 fue LockBit, pero no por el grupo de ransomware que la creó. En febrero de 2024, las fuerzas del orden de EE. UU. y el Reino Unido afirmaron haber desarticulado el grupo LockBit al incautar los servidores del grupo de ransomware como servicio, detener a dos de sus miembros y presentar cargos contra otro en una acusación formal. A raíz de esta desarticulación, numerosas variantes basadas en el código filtrado de LockBit 3.0 se activaron en el mundo real, lo que provocó un aumento de las detecciones de LockBit a principios de 2024. Sin embargo, en marzo, las detecciones disminuyeron significativamente, con un ligero repunte en abril y principios de mayo (aunque la banda LockBit puede que no haya desaparecido para siempre).
Los grupos que utilizaban LockBit 3.0 solían emplear EDR killers y otro malware y técnicas para intentar desactivar la protección de los endpoints. Su acceso inicial solía producirse a través de cuentas VPN que habían sido comprometidas (en algunos casos debido a vulnerabilidades en los propios dispositivos VPN) o mediante el uso indebido de credenciales obtenidas de dispositivos no gestionados para obtener acceso remoto.
Akira y Fog
En términos de incidentes reales, el ransomware como servicio Akira lideró el ranking en 2024, ocupando el vacío dejado por LockBit. Aparecido inicialmente en 2022, los ataques de Akira se intensificaron a finales de 2023. El grupo y sus afiliados mantuvieron una actividad constante a lo largo de 2024, con un pico en agosto, cuando Akira representó el 17 % de las detecciones de ransomware notificadas por los clientes de Sophos, duplicando su posición en los dos primeros trimestres del año. A finales de año, todavía representaba el 9 % de los informes de detección de ransomware.
Cabe destacar que Sophos observó que los afiliados vinculados a Akira también desplegaban otras variantes de ransomware, como Fog, Frag y Megazord. Estos atacantes (como los de STAC5881) solían centrarse en explotar las VPN para obtener el acceso inicial. Por lo general, los objetivos de Akira tenían VPN sin autenticación multifactorial o con puertas de enlace VPN mal configuradas que permitían a los atacantes obtener acceso con credenciales robadas o mediante ataques de fuerza bruta.
Aunque Akira sigue activo, el ransomware Fog ha sido utilizado ocasionalmente como sustituto por afiliados anteriormente vinculados a Akira, lo que explica su tercera posición entre las 15 familias de ransomware más detectadas en incidentes de MDR e IR.
RansomHub
RansomHub fue otro líder emergente en incidentes de ransomware en 2024. Aunque empató en el sexto lugar en detecciones generales, RansomHub fue la cuarta familia de ransomware más observada en incidentes reales de MDR e IR.
Entre febrero y agosto de 2024, según un aviso de la Agencia de Ciberseguridad y de Infraestructuras #StopRansomware, RansomHub había «cifrado y sustraído datos de al menos 210 víctimas». La mayoría de los casos de MDR e IR de Sophos relacionados con RansomHub se produjeron en la segunda mitad del año, con un aumento en noviembre.
La mayoría de los ataques de RansomHub implicaban el uso indebido de RDP, además de otras herramientas legítimas de escritorio remoto, como AnyDesk. El acceso inicial en algunos casos notificados se produjo aprovechando la vulnerabilidad de ejecución remota de código SMB de Windows (CVE-2017-1444), que ya tiene siete años, aunque esto no se observó en los casos de MDR e IR de Sophos representados en nuestros datos. Los vectores de acceso inicial que Sophos X-Ops observó en los casos de RansomHub incluyeron el abuso de servidores Microsoft SQL externos para la ejecución de comandos, el abuso de RDP abierto y el acceso web a escritorios remotos, y el compromiso de dispositivos no gestionados.
