Calibración de expansión: Informe Anual de Ciberseguridad 2023
Calibración de expansión
Informe Anual de Ciberseguridad 2023
Nuestra vigilancia e investigación continuas del panorama de amenazas en 2023 mostraron patrones que sugieren que los ciberdelincuentes están aprendiendo a priorizar el contenido sobre el tamaño a medida que aprovechan la superficie de ataque en expansión. Los datos de nuestros clientes muestran un aumento en las detecciones de endpoint que sugieren que los agentes de amenazas están calibrando sus operaciones para desviarse de los ataques de grandes lotes y, en cambio, centrarse en una gama más estrecha de objetivos, pero con perfiles de víctimas más altos para obtener el máximo beneficio con el mínimo esfuerzo. A medida que continúan redoblando técnicas probadas y comprobadas y encuentran más formas de abusar de procesos legítimos para sigilo, también están delegando y racionalizando operaciones, haciendo sustituciones rápidas de derribos, todo lo cual resulta en esquemas constantes, más audaces y más operativos. Los SOC y las empresas deben perfeccionar sus procesos y protocolos para que sus defensas puedan hacer frente a la persistencia con eficiencia.
Nuestro informe anual de ciberseguridad presenta las historias más destacadas de 2023, junto con datos destacados y utilizables procedentes de nuestra telemetría e información de expertos sobre amenazas que cubren ransomware, nube y sistemas empresariales, panorama de amenazas y amenazas persistentes avanzadas (APT).
* * *
CAMPAÑAS
Las organizaciones dedicadas al cibercrimen amplían su alcance y mejoran la eficiencia
Las amenazas persistentes avanzadas están dando un golpe combinado: algunos grupos duplican sus técnicas probadas mientras que otros se expanden y exploran nuevas tácticas.
APT34 continúa reponiendo procedimientos simples creando rápidamente nuevo malware y herramientas que les permiten implementar ciclos sucesivos. Mientras tanto, Pawn Storm lanzó una campaña de phishing de credenciales contra varios gobiernos en Europa que puede estar relacionada con algunas de las campañas de retransmisión de hash Net-NTLMv2. Void Rabisu también está haciendo que su principal backdoor de malware ROMCOM sea más eficiente y dañino: lo simplificaron, con componentes adicionales específicos para sus objetivos, mientras la banda invade áreas objetivo generalmente asociadas con grupos de APT que se suele considerar que están patrocinados por el estado.
Mientras tanto, Earth Lusca ha ampliado su arsenal de Linux con el backdoor SprySOCKS y Earth Eastries usa Zingdoor como parte de su rutina para garantizar que el backdoor no se pueda descomprimir fácilmente, mientras que se utilizan ataques de degradación (downgrade) de PowerShell y novedosas combinaciones de carga lateral de DLL para evadir la detección.
La eficiencia con la que los grupos cibercriminales están evolucionando y adaptándose sugiere que están construyendo una industria similar a las organizaciones tradicionales en tamaño, ingresos y operaciones. Nuestro estudio de principios de este año detalla cómo las empresas de delitos cibernéticos están operando en los mismos marcos que las empresas tradicionales.
RANSOMWARE
Las bandas de ransomware mejoran sus operaciones con tácticas eficientes, esquemas más audaces e intercambios rápidos
Los grupos de ransomware están trabajando de forma más inteligente en lugar de trabajar de forma más intensa: en 2023, se ha observado que varias familias maximizan el cifrado remoto e intermitente, además de abusar de máquinas virtuales no supervisadas para eludir la detección y respuesta de endpoints (EDR).
Cifrado remoto
Observado en
• Akira
• BlackCat
• BlackMatter
• LockBit
• Royal
Cifrado intermitente
Observado en
• NoEscape
• Ransomware Play
• BlackBasta
• Agenda
• BlackCat
Abuso de VM para eludir EDR
Observado en
• Akira
• BlackCat
Las pandillas también están lanzando ataques más audaces: los grupos prolíficos en ataques que fueron algunos de los más activos en 2023: Clop aprovechó vulnerabilidades importantes y BlackCat lanzó una nueva variante, al tiempo que estaba haciendo pública su extorsión aprovechando el requisito de divulgación de 4 días de la Comisión de Seguridad e Intercambio para incentivar a su víctima a comunicarse más rápidamente con ellos. También están haciendo cambios rápidos: Después de la caída de Qakbot, BlackBasta recurrió al Pikabot del afiliado Water Curupira para lanzar una campaña de spam.
Mientras tanto, el principal protagonista Cerber resurgió aprovechando la vulnerabilidad de Atlassian Confluence para desplegar su rutina, mientras que los ladrones de información anteriormente conocidos como RedLine y Vidar ahora también están liberando rutinas de ransomware, lo que sugiere que los agentes de amenazas detrás de ellas están diversificando sus técnicas. Si bien el pez gordo LockBit continuó lanzando ataques de alto perfil en 2023, la banda lucha por mantener su gloria anterior después de sufrir varios problemas logísticos, técnicos y de reputación; a medida que llegó el nuevo año, lanzaron una nueva versión en un esfuerzo por seguir siendo relevantes.
AMENAZAS EMERGENTES
La IA allana el camino para los ciberdelincuentes aficionados y crea campos de juego novedosos para agentes experimentados
El peligro inminente de las amenazas emergentes radica en las innovaciones que permiten las transacciones y procesos empresariales cotidianos: Las interfaces de programación de aplicaciones (API) enfrentan varios desafíos de seguridad que pueden ser aprovechados por actores malintencionados. El Filtrado de Paquetes Berkley de malware habilitado para BPF se vislumbra en el horizonte, mientras nuestra inmersión profunda en registros de contenedores expuestos reveló importantes lagunas de seguridad. La seguridad general de los proveedores está bajo el microscopio a medida que la producción de energía distribuida (DEG, por sus siglas en inglés) se vuelve más prominente, así como el transporte de telemetría de colas de mensajes (MQTT, por sus siglas en inglés).
Si bien los grandes modelos de lenguaje todavía tienen amplias limitaciones a la hora de automatizar completamente la creación de malware, la velocidad de aprendizaje de indicaciones anteriores es prometedora en cuanto a adaptabilidad y mejora de la eficiencia en el futuro. Aunque todavía se requiere ingeniería rápida, manejo de errores, ajuste de modelos y supervisión humana para producir resultados utilizables, con IA, ser un ciberdelincuente se está volviendo peligrosamente más fácil, ya que las barreras anteriores, como el lenguaje y las habilidades de codificación, prácticamente se han superado.
Sin embargo, la IA en 2023 se mostró muy prometedora en ingeniería social: Su automatización resultó más útil en la extracción de conjuntos de datos para obtener información procesable, mientras que la IA generativa ha hecho que el phishing sea prácticamente sencillo con mensajes convincentes y sin errores, así como deepfakes persuasivos de audio y video.
42%
de las organizaciones de escala empresarial encuestadas utilizan activamente la IA en sus negocios*
40%
de los encuestados dicen que sus organizaciones aumentarán la inversión en IA**
1 de cada 5
Las organizaciones informan de una falta de habilidades para utilizar IA o herramientas de automatización*
*Índice global de adopción de IA de IBM 2023
**El estado de la IA en 2023: Encuestas globales de McKinsey
PAISAJE DE RIESGOS
Los cibercriminales maximizan la interconectividad pospandemia y aprovechan herramientas legítimas
En 2023 continúa el espectacular aumento en los recuentos de amenazas globales bloqueadas de la Red de Protección Inteligente (SPN), alcanzando un nuevo pico en la tendencia alcista que comenzó a raíz de la pandemia. Una mirada más cercana a la tendencia a la baja en los filtros de detección temprana (Servicio de Email Reputation, Web Reputation) sugiere que los ciberdelincuentes podrían estar restando prioridad a objetivos más amplios para centrarse en una mejor infiltración, como se ve en el aumento continuo de las detecciones de endpoint (Servicio de File Reputation).
ERS
2022 79,9 B ↑
2023 73,9 B ↓
WRS
2022 2,5 B ↓
2023 2,4 B ↓
FRS
2022 60,9 B ↑
2023 82,1 B ↑
Las vulnerabilidades siguen siendo una gran preocupación para los SOC, ya que los titulares de 2023 mostraban el aprovechamiento de servicios legítimos de intercambio de archivos, mientras que los métodos confiables de verificación de credenciales, como la autenticación multifactor, pueden ser vulnerados, como en el caso de los ataques de EvilProxy. Los ciberdelincuentes también utilizan plataformas de mensajería conocidas, como Skype y Teams, en este caso DarkGate, para entregar scripts de carga VBA a las víctimas.
Mientras tanto, los agentes de amenazas están aprovechando procesos legítimos, como en el caso de AsyncRAT, que hace un uso indebido de aspnet_compiler.exe. Los ladrones de información RedLine y Vidar, así como un ataque que sugiere el regreso de Genesis Market, también están aprovechando la firma de código de EV para evadir las medidas de seguridad. Los datos personales y procesables, como las carteras criptográficas y las credenciales de correo y navegador, siguen siendo el objetivo principal de los ciberdelincuentes. Las tiendas de datos en la dark web seguirán siendo un elemento básico, con RedLine y Vidar llevando la cima en niveles de popularidad en condiciones reales. Las personas y las organizaciones deben maximizar las herramientas que les ayuden a mantener sus datos e identidad seguros a medida que la vida pospandemia lleva la mayoría de las transacciones a sistemas online.
RESUMEN DEL PANORAMA DE AMENAZAS
161014076615
NÚMERO TOTAL DE AMENAZAS BLOQUEADAS EN 2023
73,8 mil millones
AMENAZAS POR EMAIL BLOQUEADAS
2,3 mil millones
URL maliciosas bloqueadas
82,1 mil millones
ARCHIVOS MALICIOSOS BLOQUEADOS
87,5 mil millones
CONSULTAS SOBRE REPUTACIÓN DE CORREO ELECTRÓNICO
4,1 T
CONSULTAS DE REPUTACIÓN DE URL
2,3 T
CONSULTAS SOBRE REPUTACIÓN DE ARCHIVOS
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.