Fortinet ha anunciado el último informe semestral FortiGuard Labs Global Threat Landscape Report. Según Derek Manky, jefe de Security Insights & Global Threat Alliances de FortiGuard Labs, la inteligencia de amenazas de la primera mitad del 2021 demuestra un aumento significativo en el volumen y la sofisticación de los ataques dirigidos a individuos, organizaciones e infraestructuras cada vez más críticas.
“La superficie de ataque en expansión de los trabajadores y aprendices híbridos, dentro y fuera de la red tradicional, sigue siendo un objetivo. La colaboración oportuna y el impulso de las asociaciones entre las fuerzas de seguridad, así como los sectores público y privado, es una oportunidad para interrumpir el ecosistema de los ciberdelincuentes de cara a la segunda mitad del 2021”, sostuvo.
Manky destacó los siguientes aspectos del informe del primer semestre de 2021:
El ransomware es mucho más que dinero: Los datos de FortiGuard Labs muestran que la actividad media semanal de ransomware en junio del 2021 fue más de diez veces superior a los niveles de hace un año. “Esto demuestra un aumento constante y generalizado durante un período de un año. Los ataques paralizaron las cadenas de suministro de múltiples organizaciones, en sectores concretos de importancia crítica, y afectaron a la vida diaria, la productividad y el comercio más que nunca”, anotó el ejecutivo.
Añadió que las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, anotó, algunos operadores de ransomware cambiaron su estrategia de cargas útiles iniciadas por correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS) que alimenta la ciberdelincuencia.
“Una conclusión clave es que el ransomware sigue siendo un peligro claro y presente para todas las organizaciones, independientemente de su sector o tamaño. Las organizaciones deben adoptar un enfoque proactivo con soluciones de protección de puntos finales en tiempo real, detección y respuesta automatizada para asegurar los entornos junto con un enfoque de acceso de confianza cero, segmentación de la red y cifrado”, sostuvo Manky.
Una de cada cuatro organizaciones ha detectado publicidad maliciosa: El informe muestra que la clasificación de la prevalencia de las principales detecciones de malware por familias de malware muestra un aumento del malvertising de ingeniería social engañosa y del scareware. Más de una de cada cuatro organizaciones detectó intentos de malvertising o scareware, siendo Cryxos una familia notable. “Aunque es probable que un gran volumen de las detecciones se combine con otras campañas similares en JavaScript que se considerarían malvertising. Sin duda, la realidad laboral híbrida ha fomentado esta tendencia en las tácticas de los ciberdelincuentes, ya que intentan explotarla, con el objetivo no solo de asustar, sino también de extorsionar. Una mayor concienciación en materia de ciberseguridad es tan importante como siempre para proporcionar una formación y educación oportunas que ayuden a evitar ser víctima de tácticas de scareware y malvertising”, señaló el ejecutivo.
Las tendencias de las redes de bots muestran que los atacantes van al límite: El seguimiento de la prevalencia de las detecciones de redes de bots mostró un aumento de la actividad. El informe muestra que, a principios de año, el 35% de las organizaciones detectaron actividad de botnets de un tipo u otro, y seis meses después era el 51%.
“Un gran aumento de la actividad de TrickBot es el responsable del pico general de actividad de las redes de bots durante el mes de junio. TrickBot surgió originalmente en la escena de la ciberdelincuencia como un troyano bancario, pero desde entonces se ha convertido en un sofisticado conjunto de herramientas de múltiples etapas que apoyan una serie de actividades ilícitas. Mirai fue el más prevalente en general; superó a Gh0st a principios del 2020 y ha reinado desde entonces hasta bien entrado el 2021. Mirai ha seguido añadiendo nuevas ciberarmas a su arsenal, pero es probable que el dominio de Mirai se deba, al menos en parte, a que los delincuentes buscan explotar los dispositivos de la Internet de las Cosas (IoT) utilizados por personas que trabajan o aprenden desde casa”, sostuvo Manky.
Añadió que también está notablemente activo Gh0st, que es una red de bots de acceso remoto que permite a los atacantes tomar el control total del sistema infectado, capturar imágenes de cámaras web y micrófonos en directo o descargar archivos. “Tras más de un año de trabajo a distancia y turnos de aprendizaje, los ciberadversarios siguen apuntando a nuestros cambiantes hábitos diarios para aprovechar la oportunidad. Para proteger las redes y las aplicaciones, las organizaciones necesitan enfoques de acceso de confianza cero para proporcionar los mínimos privilegios de acceso para protegerse contra los dispositivos y puntos finales de IoT que entran en la red”, indicó el ejecutivo.
La interrupción de la ciberdelincuencia muestra una reducción de los volúmenes de amenazas: Manky anotó que, en ciberseguridad no todas las acciones tienen un efecto inmediato o duradero, pero varios eventos en el 2021 muestran desarrollos positivos específicamente para los defensores.
“El desarrollador original de TrickBot fue acusado de múltiples cargos en junio. Asimismo, el desmantelamiento coordinado de Emotet, una de las operaciones de malware más prolíficas de la historia reciente, así como las acciones para desbaratar las operaciones de ransomware de Egregor, NetWalker y Cl0p, representan un impulso significativo por parte de los ciberdefensores, incluidos los gobiernos mundiales y las fuerzas del orden para frenar la ciberdelincuencia”, comentó el ejecutivo.
Señaló, asimismo que, además, el nivel de atención que algunos ataques han cosechado ha asustado a algunos operadores de ransomware, que han anunciado el cese de sus operaciones.
“Los datos de FortiGuard Labs mostraron una desaceleración de la actividad de las amenazas tras el desmantelamiento de Emotet. La actividad relacionada con las variantes de TrickBot y Ryuk persistió después de que la red de bots Emotet fuera desconectada, pero con un volumen reducido. Esto es un recordatorio de lo difícil que es erradicar las ciberamenazas o las cadenas de suministro de los adversarios de forma inmediata, pero estos acontecimientos son logros importantes a pesar de todo”, indicó.
Técnicas de evasión defensiva y escalada de privilegios favorecidas por los ciberdelincuentes: El estudio de la inteligencia de amenazas revela valiosas pistas sobre cómo están evolucionando las técnicas de ataque en la actualidad.
“FortiGuard Labs analizó la funcionalidad específica inherente al malware detectado al detonar las muestras para observar cuál era el resultado previsto por los ciber adversarios. El resultado fue una lista de cosas negativas que el malware habría logrado si las cargas útiles del ataque se hubieran ejecutado en los entornos objetivo. Esto demuestra que los ciberadversarios buscaban escalar privilegios, evadir las defensas, moverse lateralmente por los sistemas internos y exfiltrar datos comprometidos, entre otras técnicas”, sostuvo Manky.
Señaló como ejemplo que el 55% de las funciones de escalada de privilegios observadas aprovechaban el hooking, y el 40% utilizaban la inyección de procesos. “La conclusión es que hay un enfoque obvio en la evasión de la defensa y las tácticas de escalada de privilegios. Aunque estas técnicas no son novedosas, los defensores estarán mejor posicionados para protegerse contra futuros ataques, armados con este conocimiento oportuno. Los enfoques de plataformas integradas e impulsadas por la inteligencia artificial (IA), potenciadas por la inteligencia de amenazas procesable, son esenciales para defender en todos los bordes e identificar y remediar las cambiantes amenazas a las que se enfrentan las organizaciones hoy en día en tiempo real”, anotó el ejecutivo.
