Adelantarse al riesgo: Informe de amenazas de ciberseguridad de mediados del año 2023 de Trend Micro
20/23
ADELANTARSE
AL RIESGO
Informe de amenazas de ciberseguridad de mediados del año 2023 de Trend Micro
Un conjunto de soluciones de seguridad proactivas y holísticas es crucial, ya que nuestro informe de amenazas de ciberseguridad de mediados de año demuestra que los delincuentes están cambiando de objetivo, utilizando innovaciones y volviéndose más creativos para aumentar la eficiencia y la prolificidad.
Las herramientas habilitadas para IA han simplificado la ejecución de estafas, han automatizado el perfeccionamiento de los objetivos y han aumentado la escalabilidad cosechando nuevos delitos. Los agentes de ransomware implementaron un número cada vez mayor de ataques por implantación de controladores vulnerables ("bring-your-own-vulnerable-driver", BYOVD) este año y también explotaron vulnerabilidades de día cero como GoAnywhere, 3CX, PaperCut y MOVEit. Mientras tanto, las amenazas empresariales continuaron aprovechando la entrada mediante contraseñas débiles o predeterminadas.
Nuestros datos de gestión de riesgos de superficie de ataque (ASRM) mostraron que en Estados Unidos, Brasil e India se detectó la mayor cantidad de eventos de riesgo en la primera mitad de 2023, mientras que las industrias de fabricación, atención médica y tecnología registraron el mayor número de detecciones en el mismo período.
En las siguientes infografías, presentamos los aspectos más destacados de nuestra telemetría, que abarcan la vista de superficie de ataque más amplia en 500 000 clientes comerciales y millones de clientes consumidores. Con sensores nativos en endpoints, email y mensajería, tráfico de red y web, nube y tecnología operativa, presentamos las principales técnicas, tácticas y tendencias en la actividad de los agentes de amenazas. También abarcamos objetivos en el panorama de riesgos, con amenazas que van desde el ransomware, en la nube y en el nivel empresarial, y amenazas persistentes avanzadas (APT), todo de un vistazo.
RANSOMWARE
Realice pruebas en fases tempranas para adelantarse a los grupos ransomware conectados con objetivos en constante cambio
Los grupos de ransomware continúan actualizando sus herramientas y técnicas para la ampliación de sus objetivos y una extracción de datos eficiente. A principios de este año, apareció Mimic para explotar la herramienta de búsqueda legítima Everything y consultar extensiones y nombres de archivo a fin de determinar qué archivos cifrar y evitar. Mientras tanto, el ransomware Royal ha ampliado sus objetivos con una actualización que señala a las plataformas Linux.
Nuestras investigaciones sobre Royal y Mimic sugirieron conexiones con el grupo de ransomware Conti, más grande y de peor reputación, mientras que en nuestra investigación sobre TargetCompany quedaron demostrados sus vínculos con otras familias de ransomware como BlueSky y GlobeImposter. Estas conexiones son coherentes con nuestros conocimientos sobre la revolución del ransomware, sobre cómo las colaboraciones podrían derivar en costes más bajos y una mayor presencia en el mercado, manteniendo, al mismo tiempo, la eficacia de las actividades delictivas.
Mientras tanto, los beneficios financieros podrían no ser el único motivador para los grupos ransomware, ya que las entidades gubernamentales podrían ofrecer oportunidades de contratación a los operadores, en lugar de enjuiciarlos. En nuestro informe de mayo sobre el backdoor RomCom, analizamos el uso histórico del backdoor en ataques por motivos geopolíticos contra Ucrania desde al menos octubre de 2022, lo que sugiere un cambio en los objetivos de Void Rabisu. Los ataques recientes de ransomware ahora son comparables con los grupos APT en términos de habilidades, enfoque y capacidades de ataque.
Los agentes de ransomware que permanecen en TI por dinero también pueden orientar sus esfuerzos de exfiltración de datos hacia el robo de criptomonedas, ataques Business Email Compromise (BEC) y desplegar esquemas cortos y distorsionados para la manipulación del mercado de valores. La criptomoneda también ha hecho que los esquemas de pago sean más eficientes a favor de los agentes de amenazas, subrayando la demanda de realizar pruebas en fases tempranas (lo que significa implementar tantas medidas como sea posible para bloquear la entrada de amenazas en la red en primer lugar) al prever ataques relacionados con ransomware que desencadenan la extorsión solo después de obtener acceso y exfiltrar datos.
OTRAS LECTURAS RECOMENDADAS
INTELIGENCIA ARTIFICIAL
Las innovaciones de IA simplifican las tareas, incluso para los cibercriminales
Ya en 2021, el 52 % de las empresas aceleró sus planes de adopción de IA debido a la crisis de la COVID-19. Mientras tanto, las organizaciones integran cada vez más capacidades de IA en sus operaciones. La adopción de IA continuó a un ritmo estable el año pasado, con un 35 % de empresas que usó IA en sus negocios. Una de cada cuatro empresas está adoptando la IA para cerrar las brechas laborales y de habilidades, mientras que dos de cada tres empresas planean aplicar la IA para abordar los objetivos de sostenibilidad.
La industria de la ciberseguridad también prevé un aumento en la demanda de técnicas antifraude con reconocimiento de identidad junto con un repunte de los cibercriminales que aprovechan la IA para llevar a cabo delitos virtuales de manera más eficiente. Por ejemplo, actualmente, los secuestradores virtuales utilizan la clonación de voz, la suplantación de la SIM, ChatGPT y los análisis de redes sociales y modelos de propensiones (SNAP) para identificar los objetivos más rentables y ejecutar su táctica.
Mientras tanto, ChatGPT y otras herramientas de IA crean niveles anidados de automatización para recopilar información, formar grupos objetivo e identificar y priorizar comportamientos vulnerables según los ingresos esperados para atraer a víctimas de renombre (también conocidas como "peces gordos" o "big fish") en ataques de caza de ballenas con arpón (harpoon whaling) y el timo del amor (romance scam). Otros agentes de amenazas juegan a largo plazo y engañan a las víctimas a través de estafas de inversión en criptomonedas conocidas como matanza de cerdos (pig butchering). También hay informes de que los asistentes de codificación basados en IA y ChatGPT pueden ser engañados para escribir código malicioso.
La aparición de tales cibercrímenes solo aumentará a medida que más personas y empresas adopten e inviertan en inteligencia artificial para optimizar sus propias operaciones.
VULNERABILIDADES
El índice de riesgo cibernético baja a un rango moderado, pero las amenazas aún abundan a medida que los agentes innovan
El índice de riesgo cibernético (CRI) disminuyó a un rango moderado con una puntuación de +0,01 en la segunda mitad de 2022, según una encuesta a más de 3700 empresas en cuatro regiones. Sin embargo, los detalles de nuestro informe indican que el CRI de América del Norte es el más elevado entre las regiones (-0,10), con un índice de preparación cibernética que ha empeorado de 5,30 a 5,29 y un índice de ciberamenaza que cae de 5,63 a 5,39. En cuanto a los avisos de vulnerabilidad, se publicaron 894 en el primer semestre de 2023, solo 50 menos que los publicados en el primer semestre del año anterior.
Mientras tanto, los agentes de amenazas lanzan una red más amplia al aprovechar las vulnerabilidades en plataformas más pequeñas para objetivos más específicos, como el servicio de transferencia de archivos MOVEit, el software de comunicaciones empresariales 3CX y la solución de software de gestión de impresión PaperCut. En junio, el ransomware Clop aprovechó una vulnerabilidad en MOVEit para comprometer la seguridad de varias agencias gubernamentales en los Estados Unidos, el Departamento de Energía, los sistemas universitarios de varios estados y varias empresas privadas.
En mayo, Google lanzó ocho nuevos dominios de nivel superior (TLD), incluidos .zip y .mov. Esto puede presentar riesgos de seguridad cuando los cibercriminales los exploten para ocultar URL maliciosas detrás de sitios web legítimos para la entrega de malware y otros ataques, una técnica probada y comprobada que sigue siendo efectiva en la actualidad.
Si bien las innovaciones continúan evolucionando e implican más datos, los agentes de amenazas están encontrando más formas de victimizar a las personas. Por ejemplo, los automóviles conectados de hoy en día contienen más de 100 millones de líneas de código, lo que brinda funcionalidad inteligente al usuario pero también abre puertas a los piratas informáticos. A medida que más coches inteligentes saturen el mercado, los atacantes intentarán obtener acceso a los datos de la cuenta de usuario y aprovecharlos para sus delitos.
Estas amenazas subrayan la necesidad de una gestión proactiva del riesgo cibernético que ponga en práctica elementos de una estrategia de confianza cero y visibilidad y evaluación continuas durante todo el ciclo de vida del riesgo, que comprendería el descubrimiento, la evaluación y la mitigación. Las inversiones en ampliar la detección y respuesta darían como resultado suficientes datos, análisis e integraciones a partir de los cuales los equipos de seguridad y los investigadores pueden obtener información sobre la actividad de amenazas y el grado de eficacia de las defensas.
CAMPAÑAS
Las reapariciones de amenazas presentan nuevas herramientas para evadir la detección y ampliar la portabilidad
Los agentes maliciosos continúan creando herramientas y técnicas nuevas y actualizadas para minimizar la detección de su arsenal y crear una red más amplia para las víctimas.
En su última campaña del año pasado, APT34 utilizó comunicación de comando y control (C&C) basada en DNS combinada con tráfico de correo SMTP (Protocolo simple de transferencia de correo) legítimo para eludir las políticas de seguridad dentro de los perímetros de la red. Investigaciones posteriores revelan que APT34 podría tener un punto de apoyo profundo en el bosque de dominio del gobierno.
Earth Preta cambió su enfoque para centrarse en la infraestructura crítica y las instituciones clave que pueden afectar a las relaciones, las economías y los valores nacionales e internacionales. El grupo APT ahora usa técnicas híbridas para implementar malware a través de enlaces de Google Drive incrustados en documentos señuelo y aprovecha los vectores físicos para la intrusión. También aprovecha WinRAR y curl (también conocido como cURL) y piezas de malware nunca antes vistas para recopilar y transferir datos. Los esfuerzos entrelazados de inteligencia comercial tradicional y recopilación cibernética indican una operación de ciberespionaje altamente coordinada.
Otras amenazas persistentes también están resurgiendo con herramientas e indicadores nuevos y mejorados de objetivos cambiantes. Después de un período de inactividad, el subgrupo de APT41 Earth Longzhi resurgió con una nueva técnica que denominamos "ruido de pila" ("stack rumbling"), que desactiva los productos de seguridad a través de las opciones de ejecución de archivos de imagen (IFEO). En particular, esta es una nueva técnica de denegación de servicio (DoS) observada por primera vez en esta campaña. Si bien las muestras de esta campaña revelan que el grupo señala a empresas de Filipinas, Tailandia, Taiwán y Fiji, los documentos incorporados en las muestras sugieren que el grupo podría señalar a continuación a empresas en Vietnam e Indonesia.
OTRAS LECTURAS RECOMENDADAS
RESUMEN DEL PANORAMA DE AMENAZAS
85629564910
NÚMERO TOTAL DE AMENAZAS BLOQUEADAS EN EL PRIMER SEMESTRE DE 2023
37 000 mill.
AMENAZAS POR EMAIL BLOQUEADAS
S1 2023
1100 mill.
DIRECCIONES URL MALICIOSAS BLOQUEADAS
S1 2023
45 900 mill.
ARCHIVOS MALICIOSOS BLOQUEADOS
S1 2023
44 100 mill.
CONSULTAS DE EMAIL REPUTATION
S1 2023
2,1 bill.
CONSULTAS DE URL REPUTATION
S1 2023
1,1 bill.
CONSULTAS DE FILE REPUTATION
S1 2023
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.