Las aplicaciones en la nube son el principal vehículo del malware exitoso

El último informe Cloud and Threat de Netskope, publicado con el subtítulo “Top Adversary Tactics and Techniques”, revisa los tres primeros trimestres de 2023 y se centra en las técnicas y motivaciones detectadas entre los ataques recibidos por los clientes de la compañía en todo el mundo. Las amenazas de perfil geopolítico surgieron sobre todo de China, mientras que los ataques de ciberdelincuentes se originaron en gran medida en Rusia y Ucrania, con el grupo ruso Wizard Spider como el que más organizaciones ha atacado.

Es a este grupo al que se atribuye la creación del malware TrickBot, que según Netskope está en constante evolución. Otros colectivos que señala la compañía son TA505, que creó el ransomware Clop, y FIN7, que al parecer usó otro ransomware, REvil, y generó otro más, Darkside. En cuanto a los que se mueven por intereses geopolíticos se encuentra memupass y Aquatic Panda, que se dirigen a regiones e industrias específicas por su propiedad intelectual.

Los servicios financieros y de atención sanitaria han sido objetivo de casi la mitad de ataques con motivación geopolítica. Menos de un 15% de esta actividad se dirigió a la industria manufacturera, los servicios estatales, locales y educativos, así como tecnológicos. Y se dirigieron mayoritariamente a África, Asia, América Latina y Oriente próximo. Australia y América del Norte recibieron el mayor porcentaje de ataques con fines económicos.

En cuanto a las técnicas utilizadas, los enlaces y archivos adjuntos de spearphising han sido los más relevantes para el acceso, logrando además tres veces más éxito en lo que va de año que a finales de 2022. El canal más usado es el correo, pero con un nivel de éxito muy bajo. Sin embargo, el 55% del malware se distribuyó a través de aplicaciones en la nube: 16 veces más usuarios intentaron descargar un archivo adjunto de phishing desde una aplicación de correo web personal, comparado con el correo corporativo. Una cuarta parte detodas las descargas de malware en la nube se intentó realizar desde Microsoft OneDrive, la aplicación más popular en las empresas.

Netskope recomienda a las organizaciones estar preparadas para protegerse particularmente contra tres técnicas: enlaces y archivos adjuntos de spearphishing, implementando defensas antiphishing que vayan más allá del correo electrónico; enlaces y archivos maliciosos, inspeccionando con análisis estáticos y dinámicos los archivos de alto riesgo, como ejecutables y archivos comprimidos, antes de descargarlos; y protocolos web y exfiltración a través del canal C2, detectándolos y deteniéndolos con un SWG y un IPS para identificar la comunicación con infraestructuras C2 conocidas y patrones C2 comunes.