El ransomware representó el 30 % de los compromisos de este trimestre, un aumento del 22 % respecto al trimestre anterior.
Por Revista Summa
Entre abril y junio de 2024, el sector tecnológico fue el más afectado por ataques cibernéticos, representando el 24% de los casos, seguido de cerca por los sectores de salud, cuidado sanitario y minorista.
Así lo revela el reciente informe de Cisco Talos Incident Response (Talos IR), que destaca un aumento del 30% en los ataques al sector tecnológico en comparación con el primer trimestre del año.
Las organizaciones tecnológicas, por su papel crucial en el suministro y servicio a una amplia gama de sectores, son vistas como puertas de entrada a otras industrias, lo que las convierte en objetivos especialmente atractivos para los adversarios. Además, suelen gestionar amplios activos digitales que soportan infraestructuras críticas, lo que les otorga una baja tolerancia al tiempo de inactividad, haciéndolas más susceptibles a pagar demandas de extorsión.
Correo electrónico comprometido y ransomware dominan el panorama de ciberamenazas
Durante el segundo trimestre de 2024, las principales amenazas observadas fueron el correo electrónico comercial comprometido (BEC) y el ransomware, que juntos representaron el 60% de los casos.
Aunque el número de ataques BEC disminuyó en comparación con el trimestre anterior, continuó siendo una amenaza significativa por segundo trimestre consecutivo. En contraste, se registró un ligero aumento en los incidentes de ransomware, con Cisco Talos Incident Response (Talos IR) respondiendo por primera vez a los ransomware Mallox y Underground Team, además de los conocidos Black Basta y BlackSuit.
Por tercer trimestre consecutivo, el uso de credenciales comprometidas en cuentas válidas fue el medio más común para obtener acceso inicial, representando el 60% de los ataques, un incremento del 25% respecto al trimestre anterior.
Adicionalmente, Cisco Talos IR observó un leve aumento en los ataques dirigidos a dispositivos de red, que representaron el 24% de los casos. Esta actividad incluyó espionaje de contraseñas, exploración de vulnerabilidades y explotación de las mismas.
Continúa el aumento del BEC
En los ataques BEC, los adversarios comprometen cuentas de correo electrónico legítimas de empresas y las utilizan para enviar correos electrónicos de phishing con el fin de obtener información confidencial, como credenciales de cuentas. Los agresores también pueden utilizar las cuentas comprometidas para enviar correos electrónicos con solicitudes financieras fraudulentas, como el cambio de información de cuentas bancarias relacionadas con nóminas o facturas de proveedores.
En algunos de los incidentes de BEC observados en los que se utilizó un método de phishing como vector de infección, los adversarios aprovecharon el phishing por SMS, o «smishing», para comprometer las cuentas. Esto implica el envío de mensajes de texto fraudulentos para engañar a los destinatarios con el fin de que compartan información personal o hagan clic en enlaces maliciosos.
Dirigirse a los dispositivos móviles personales de los empleados puede ser un método eficaz para el acceso inicial, ya que pueden no tener los mismos controles de seguridad que sus dispositivos corporativos. Las organizaciones deben asegurarse de que las estafas de phishing por SMS se incluyan en la formación de concienciación sobre seguridad para sus colaboradores.
Tendencias del ransomware
El ransomware representó el 30 % de los compromisos de este trimestre, un aumento del 22 % respecto al trimestre anterior. Talos IR observó las familias de ransomware Mallox y Underground Team por primera vez este trimestre. Talos IR también respondió al ransomware Black Basta y BlackSuit visto anteriormente este trimestre, que recientemente evaluó como dos de los principales actores dentro del panorama actual del ransomware.
En particular, el 80 % de los ataques de ransomware de este trimestre carecían de la debida implementación de MFA en sistemas críticos, como las redes privadas virtuales (VPN), lo que permitió a los adversarios obtener el acceso inicial. Además, se observó ofuscación de comandos, como la codificación Base64, en el 40% de los ataques de ransomware de este trimestre, probablemente para eludir la detección ocultando la verdadera intención de los comandos.
Selección de dispositivos de red
Cisco Talos IR observó este trimestre un ligero aumento de los ataques a dispositivos de red, que representaron el 24% de los casos. Esta actividad incluyó el rociado de contraseñas, la exploración de vulnerabilidades y la explotación. Los dispositivos de red deben parcharse con regularidad y supervisarse activamente, ya que proporcionan una ruta crítica para los datos que entran y salen de la red. Si se ponen en peligro, un adversario podría entrar inmediatamente en una organización, desviar o cambiar el tráfico de la red y vigilar las comunicaciones de la red.
Vectores iniciales
Cuando se conoció, el medio más observado para obtener acceso inicial fue el uso de credenciales comprometidas en cuentas válidas, lo que supuso el 60% de los ataques. Esto significó un aumento del 25% con respecto al trimestre anterior, en el que las cuentas válidas también fueron uno de los principales vectores de ataque.
Debilidades de seguridad
Los sistemas vulnerables o mal configurados y la falta de una implementación adecuada de la autenticación multifactor (MFA, por sus siglas en inglés) empataron en los principales puntos débiles de seguridad observados este trimestre, representando casi todos los compromisos. Talos IR observó un aumento del 46% en cada uno de estos puntos débiles de seguridad con respecto al trimestre anterior.
Los sistemas que no están actualizados con los últimos parches son potencialmente vulnerables. No se configuran teniendo en cuenta las mejores prácticas del sector en materia de seguridad, lo que deja a la organización expuesta, por ejemplo, a un servidor público al que se supone que solo se puede acceder internamente.
Talos IR recomienda implementar MFA en todos los servicios críticos, incluyendo todos aquéllos de acceso remoto y gestión de acceso a identidades (IAM). MFA será el método más eficaz para la prevención de compromisos remotos.
MFA también puede ayudar a prevenir el movimiento lateral al requerir que todos los usuarios administrativos proporcionen una segunda forma de autenticación. Las organizaciones pueden configurar alertas para la autenticación de factor único con el fin de identificar rápidamente posibles lagunas.
Este trimestre, Talos IR siguió observando que los usuarios aceptaban las notificaciones push de MFA dentro de los compromisos, pero se produjo un notable descenso con respecto al gran aumento de la actividad observado el trimestre pasado. En un caso de actividad BEC, varios empleados recibieron correos electrónicos de phishing desde el correo electrónico de un socio de confianza que había sido comprometido por el adversario.
Los correos contenían enlaces a páginas de inicio de sesión falsas destinadas a recopilar credenciales. Al menos un empleado proporcionó sus credenciales, lo que resultó en el envío de una notificación push MFA al teléfono del empleado, que aceptó concediendo acceso al adversario.
Talos IR recomienda a las organizaciones educar a sus empleados sobre los canales específicos y puntos de contacto para informar de estos incidentes. Además, la cuenta del empleado no contaba con alertas para evitar escenarios de viajes imposibles. Los viajes imposibles se refieren al escenario en el que un usuario se autentica desde dos ubicaciones en un periodo irrealmente breve para haber viajado entre las ubicaciones.
Talos IR recomienda revisar las configuraciones en las plataformas de gestión de acceso a identidades (IAM) para identificar intentos de inicio de sesión arriesgados, como viajes imposibles para evitar accesos no autorizados. Además, las organizaciones deben establecer la supervisión de los registros de dispositivos y la generación de códigos de derivación.