Según el último informe de Cisco Talos, los ataques de *ransomware* disminuyeron en el tercer trimestre, mientras que las explotaciones de aplicaciones públicas aumentaron hasta representar el 60% de los incidentes, siendo la administración pública el sector más atacado.

Los incidentes de *ransomware* supusieron aproximadamente el 20% de los casos en este periodo, frente al 50% del trimestre anterior. Los expertos de Cisco Talos consideran esta disminución como puntual, ya que el *ransomware* sigue siendo una de las mayores amenazas para las organizaciones. En este trimestre, Cisco Talos identificó tres nuevas variantes de *ransomware*: Warlock, Babuk y Kraken, junto con amenazas conocidas como Qilin y LockBit.

Uno de los ataques de *malware* investigados se atribuyó a Storm-2603, un grupo que se cree que opera desde China y que utilizó la herramienta de seguridad Velociraptor para mejorar la visibilidad de ordenadores y redes con el fin de recopilar datos, supervisar la actividad y mantener el control tras la infiltración.

El informe también destaca el aumento de la explotación de aplicaciones públicas, que representan el 60% de los incidentes detectados en este trimestre, frente al 10% del trimestre anterior. Este repunte se vincula principalmente a una ola de ataques que explotan vulnerabilidades recién divulgadas en servidores Microsoft SharePoint locales a través de la cadena de ataque ToolShell. La primera explotación conocida se produjo un día antes del aviso de Microsoft, y la mayoría de los incidentes gestionados por Talos ocurrieron en los siguientes diez días.

Aproximadamente el 15% de los incidentes registrados involucraron infraestructura sin parchear, lo que subraya la importancia de la aplicación rápida de parches y de la segmentación adecuada en las estrategias de defensa. Además, casi un tercio de los incidentes involucraron a atacantes que evitaron o explotaron la autenticación multifactor (MFA), a menudo mediante técnicas como el bombardeo de solicitudes de inicio de sesión o la explotación de debilidades en las configuraciones de MFA.

Por primera vez desde 2021, las organizaciones gubernamentales, especialmente las administraciones locales, fueron los objetivos más frecuentes de los ciberataques. Estas organizaciones proporcionan servicios críticos, pero operan con presupuestos limitados y tecnología obsoleta, siendo blanco tanto de actores con motivaciones financieras como de un grupo APT afiliado a Rusia.