El ransomware se multiplica por diez en el último año y se centra en sectores críticos

De acuerdo con el Informe Global de Amenazas de Fortinet, las técnicas de ataque tienden hacia la evasión de la defensa y las tácticas de escalada de privilegios.

Publicado el 08 Sep 2021

El ransomware se multiplica por diez en el último año y se centra en sectores críticos

Fortinet ha hecho públicas las conclusiones de su Informe Global de Amenazas realizado por los expertos de los Laboratorios FortiGuard. La información sobre amenazas del primer semestre de 2021 demuestra un aumento significativo del volumen y la sofisticación de los ataques dirigidos a personas, organizaciones e infraestructuras cada vez más críticas. La creciente superficie de ataque de los trabajadores y estudiantes híbridos, dentro y fuera de la red tradicional, sigue siendo un objetivo codiciado para los cibercriminales. La colaboración entre las fuerzas de seguridad, así como entre los sectores público y privado, es una oportunidad para interrumpir el ecosistema de los ciberdelincuentes de cara a la segunda mitad de 2021.

El informe Global de Amenazas de los expertos en ciberseguridad de Fortinet destacan las siguientes tendencias:

1) El ransomware es mucho más que dinero: Los datos de FortiGuard Labs muestran que la actividad media semanal de ransomware en junio de 2021 fue más de diez veces superior a los niveles de hace un año. Esto demuestra que se ha producido un aumento sostenido y generalizado en el último año. Los ataques paralizaron las cadenas de suministro de múltiples organizaciones, en sectores de importancia crítica, y afectaron, más que nunca, a la vida diaria, la productividad y al comercio.

Las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS) que alimenta la ciberdelincuencia.

El ransomware sigue siendo un peligro evidente y presente para todas las organizaciones, independientemente de su sector o tamaño. Por ello es necesario adoptar un enfoque proactivo con soluciones de protección de endpoints en tiempo real, detección y respuesta automatizada para asegurar los entornos junto con un enfoque de acceso de confianza cero, segmentación de la red y cifrado.

2) Malvertising, la publicidad engañosa detectada por una de cada cuatro organizaciones: La clasificación de la prevalencia de las principales detecciones por familias de malware muestra un aumento del malvertising y del scareware. Una de cada cuatro organizaciones detectaron intentos de malvertising o scareware, siendo Cryxos la familia más notable. Es probable que un gran volumen de las detecciones se combine con otras campañas similares en JavaScript que se considerarían malvertising.

Sin duda, el teletrabajo ha fomentado esta tendencia en las tácticas de los ciberdelincuentes, ya que intentan explotarla, con el objetivo no sólo de asustar, sino también de extorsionar. Una mayor concienciación en materia de ciberseguridad proporcionará la formación y educación oportuna para evitar ser víctima de estas tácticas.

3) Las botnets mantienen un ritmo imparable: El seguimiento de la prevalencia de las detecciones de botnets mostró un aumento de actividad. A principios de año, el 35% de las organizaciones detectaron algún tipo de actividad de botnets, y seis meses después era el 51%.

TrickBot es el responsable de este pico de actividad de las redes de bots durante el mes de junio. Surgió originalmente en la escena de la ciberdelincuencia como un troyano bancario, pero desde entonces se ha convertido en un sofisticado kit de herramientas por fases que da soporte a una serie de actividades ilícitas. En términos generales, Mirai fue el más prevalente; superó a Gh0st a principios de 2020 y ha reinado desde entonces hasta bien entrado 2021. Mirai ha seguido añadiendo nuevas ciberarmas a su arsenal, pero es probable que su dominio se deba, al menos en parte, a que los delincuentes buscan explotar los dispositivos del Internet de las Cosas (IoT) utilizados por teletrabajadores o estudiantes online. También se ha registrado gran actividad en torno a Gh0st, una red de bots de acceso remoto que permite a los atacantes tomar el control total del sistema infectado, capturar imágenes en directo de la cámara web y el micrófono o descargar archivos.

Tras más de un año de teletrabajo y educación a distancia, los ciberadversarios siguen apuntando a nuestros cambiantes hábitos diarios para aprovechar la oportunidad. Para proteger las redes y las aplicaciones, las organizaciones necesitan enfoques de acceso de confianza cero para proporcionar los mínimos privilegios de acceso y así asegurarse frente a los dispositivos y endpoints de IoT que entran en la red.

4) Desarticular a la ciberdelincuencia para reducir el volumen de las amenazas: En el ámbito de la ciberseguridad, no todas las acciones tienen un efecto inmediato o duradero, pero varios acontecimientos ocurridos en 2021 muestran una evolución positiva para los defensores. El desarrollador original de TrickBot fue acusado de múltiples cargos en junio. Asimismo, el desmantelamiento coordinado de Emotet, una de las operaciones de malware más prolíficas de la historia reciente, así como las acciones para desbaratar las operaciones de ransomware de Egregor, NetWalker y Cl0p, son un ejemplo del esfuerzo realizado por parte de los ciberdefensores, entre ellos los gobiernos mundiales y las fuerzas del orden, para frenar la ciberdelincuencia. Además, el nivel de atención que algunos ataques han obtenido ha asustado a algunos operadores de ransomware, que han anunciado el cese de sus operaciones.

Los datos de FortiGuard Labs mostraron una desaceleración de la actividad de las amenazas tras el desmantelamiento de Emotet. La actividad relacionada con las variantes de TrickBot y Ryuk persistió después de que la red de bots Emotet fuera desconectada, pero con un volumen reducido. Esto es un recordatorio de lo difícil que es erradicar las ciberamenazas o las cadenas de suministro de los adversarios de forma inmediata, pero estos acontecimientos son logros importantes a pesar de todo.

5) Técnicas de evasión defensiva y escalada de privilegios favorecidas por los ciberdelincuentes: El estudio de la inteligencia de amenazas de mayor resolución revela valiosas pistas sobre cómo están evolucionando las técnicas de ataque en la actualidad. FortiGuard Labs analizó la funcionalidad del malware detectado detonando las muestras para observar cuál era el resultado previsto por sus creadores. El resultado fue una lista de consecuencias negativas que el malware habría logrado si las cargas útiles del ataque se hubieran ejecutado en los entornos objetivo. Esto demuestra que los ciberadversarios buscaban escalar privilegios, evadir las defensas, moverse lateralmente por los sistemas internos y exfiltrar datos comprometidos, entre otras técnicas.

Por ejemplo, el 55% de las funciones de escalada de privilegios observadas aprovechaban el hooking y el 40% utilizaban la inyección de procesos. La conclusión es que hay un enfoque evidente hacia la evasión de la defensa y las tácticas de escalada de privilegios. Aunque estas técnicas no son novedosas, los defensores estarán mejor posicionados para protegerse contra futuros ataques, armados con este conocimiento oportuno. Los enfoques de plataformas integradas e impulsadas por la inteligencia artificial (IA), potenciadas por la inteligencia de amenazas procesable, son esenciales para defender todos los perímetros e identificar y remediar las cambiantes amenazas a las que se enfrentan las organizaciones.

La colaboración, la formación, la prevención y la detección y respuesta potenciadas por la IA son vitales

Aunque en el pasado los organismos gubernamentales y policiales han tomado medidas contra la ciberdelincuencia, el primer semestre de 2021 podría suponer un cambio de paradigma. Ahora, trabajan mano a mano con proveedores de la industria, organizaciones de inteligencia de amenazas y otras alianzas de carácter global para aunar y combinar recursos e inteligencia de amenazas en tiempo real de cara a tomar medidas directas contra los cibercriminales. En cualquier caso, la detección automatizada de amenazas y la IA siguen siendo esenciales para que las organizaciones puedan hacer frente a los ataques en tiempo real y mitigar los ataques a velocidad y escala en todos los perímetros. Además, la concienciación y formación de los usuarios en materia de ciberseguridad es más importante que nunca, ya que cualquier persona puede ser objeto de ciberataques. Todo el mundo necesita una instrucción regular sobre las mejores prácticas para mantener la seguridad de los empleados a nivel individual y de la organización.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

D
Redacción Data Center Market

Artículos relacionados

Artículo 1 de 3