Los ciberdelincuentes utilizaron credenciales robadas y vulnerabilidades ya conocidas para atacar en 2019
13 febrero 2020
En sus estrategias de phishing, los ciberdelincuentes están haciéndose pasar por marcas tecnológicas de confianza para los consumidores. El 85% de los archivos expuestos se debió a configuraciones erróneas de sistemas y servidores cloud, de acuerdo con un informe de IBM.
Tags:
Los ciberdelincuentes utilizaron credenciales robadas y vulnerabilidades ya conocidas para atacar en 2019

IBM Security ha publicado su informe anual IBM X-Force Threat Intelligence 2020, en el que destaca cómo han evolucionado las técnicas de los ciberdelincuentes tras décadas de haber accedido a decenas de miles de millones de archivos corporativos y personales, y tras explotar cientos de miles de fallos de software. Según el informe, la ciberdelincuencia utilizó credenciales previamente robadas y vulnerabilidades de software ya conocidas para realizar el 60% de los ataques de 2019. Esta estrategia ha permitido que los atacantes tuvieran que hacer un menor uso del engaño para acceder a la información.

El phishing tuvo éxito únicamente en menos de un tercio de los incidentes (31%), cuando en 2018 la cifra fue de cerca de la mitad. Los ciberdelincuentes explotaron las vulnerabilidades en el 30% de los incidentes observados, en comparación con sólo el 8% de 2018. De hecho, vulnerabilidades más antiguas y de sobras conocidas en Microsoft Office y Windows Server Message Block han seguido teniendo unos niveles de explotación alarmantes en 2019.

El uso de credenciales previamente robadas también está ganando terreno como punto de entrada predilecto para los ciberdelincuentes, y ya supone un 29% de los casos. Sólo en 2019, más de 8.500 millones de archivos se vieron comprometidos, lo que dio lugar a un aumento del 200% en los datos expuestos reportados en relación al año anterior. Una cifra que se suma al creciente número de credenciales robadas que los ciberdelincuentes ya estaban utilizando.

"El excesivo número de archivos expuestos que vemos hoy en día significa que los ciberdelincuentes tienen en sus manos más herramientas para acceder a nuestras casas y negocios. Los atacantes ya no necesitan invertir tiempo en idear formas sofisticadas de acceder a un negocio; pueden "entrar" en una red y desplegar sus ataques simplemente utilizando recursos conocidos, como por ejemplo iniciando sesión con credenciales robadas", ha comentado Wendi Whitmore, vicepresidenta de IBM X-Force Threat Intelligence. "Utilizar medidas de protección, como la autenticación multifactorial o el inicio de sesión único, es esencial para mejorar la resiliencia de las organizaciones y la protección y privacidad de los datos de los usuarios".

Algunos de los aspectos más destacados del informe también incluyen:

Sistemas y servidores cloud mal configurados. Las empresas continúan teniendo problemas con la seguridad en la nube. El análisis de IBM ha descubierto que, de los más de 8.500 millones de archivos comprometidos en 2019, siete mil millones de ellos (cerca del 85%) se debieron a sistemas y servidores cloud mal configurados. Esto supone un cambio significativo con respecto a 2018, donde estos archivos constituían menos de la mitad de las incidencias totales.

Ransomware bancario. Ha habido un aumento en el uso de TrickBot que, junto con cuatro de los troyanos bancarios más activos en 2019, se ha utilizado para preparar el terreno para ataques de ransomware. De hecho, el código nuevo utilizado por los troyanos bancarios y el ransomware encabezó la lista de ataques.

Aprovechar la confianza en las empresas tecnológicas para hacer phishing. El top 10 de marcas utilizadas para hacer phishing incluye grandes nombres de tecnología, social media y streaming. Esta situación demuestra que el consumidor confía cada vez más en las marcas de tecnología, en detrimento de las marcas financieras y minoristas. Entre las principales marcas afectadas por estos intentos de phishing se incluyen Google, YouTube o Apple.

Los ataques de ransomware evolucionan

El informe analiza, también, los ataques de ransomware en todo el mundo, dirigidos tanto al sector público como al privado. En 2019 se produjo un importante aumento de la actividad de ransomware: IBM X-Force desplegó su equipo de respuesta a incidentes de ransomware en 13 industrias diferentes en todo el mundo, lo que demuestra la potencia de este tipo de ataques, independientemente de la industria objetivo. Durante el año pasado, cerca de 100 entidades del gobierno de los Estados Unidos se vieron afectadas por ataques de ransomware.

Además, IBM X-Force también detectó ataques significativos contra el comercio minorista, el sector industrial y el sector del transporte. Todos estos sectores cuentan con un gran volumen de datos que pueden ser utilizados para obtener un rendimiento económico, y suelen apoyarse en tecnología no tan actualizada, lo que hace que sean más vulnerables a los ataques. De hecho, en el 80% de los intentos de ataque con ransomware observados, los cibercriminales estaban explotando las vulnerabilidades de Windows Server, la misma táctica utilizada para propagar WannaCry, el ataque que afectó a empresas de 150 países en 2017.

Los delincuentes centran sus esfuerzos de phishing en empresas de tecnología y redes sociales

A medida que los consumidores son más conscientes de los correos electrónicos de phishing, las tácticas que utilizan los ciberdelincuentes en este tipo de ataques se están volviendo más y más específicas y dirigidas. En colaboración con Quad9, IBM ha observado que los atacantes están tendiendo cada vez más a hacerse pasar por las principales marcas de confianza de los consumidores, utilizando enlaces tentadores y suplantando a empresas de tecnología, redes sociales y plataformas de streaming. El objetivo es engañar a los usuarios para que hagan clic en enlaces maliciosos como parte de una campaña de phishing. Cerca del 60% de las 10 principales marcas suplantadas eran dominios de Google y YouTube, mientras que dominios de Apple (15%) y Amazon (12%) también fueron víctimas de intentos de ataque por parte de ciberdelincuentes que buscaban robar datos de los usuarios que pudieran rentabilizar. IBM X-Force indica que estas marcas fueron atacadas principalmente por la cantidad de datos monetizables que poseen.

Facebook, Instagram y Netflix también están en la lista de las diez principales marcas suplantadas, pero con una tasa de uso significativamente menor. Esto puede deberse al hecho de que estos servicios no suelen tener datos directamente monetizables. En estos casos, los atacantes suelen apostar por la reutilización de credenciales para acceder a cuentas con pagos más lucrativos. IBM X-Force sugiere que la reutilización frecuente de las contraseñas es lo que potencialmente convierte a estas marcas en objetivos de los ciberdelincuentes. De hecho, el estudio Future of Identity de IBM reveló que el 41% de los Millenials reutiliza la misma contraseña varias veces, mientras que la Generación Z tiene un promedio de sólo cinco contraseñas, lo que indica una mayor tasa de reutilización. Distinguir dominios falsos puede ser extremadamente difícil, motivo por el cual los delincuentes optan por esta estrategia. Con un conjunto total de casi 10.000 millones de cuentas, las 10 principales marcas suplantadas que aparecen en el informe ofrecen a los atacantes un amplio número de objetivos, lo que aumenta la probabilidad de que un usuario desprevenido pueda hacer clic en un enlace aparentemente inocente, pero fraudulento (Análisis de IBM basado en información pública).