Así evolucionarán las amenazas de ciberseguridad en 2021

  • Actualidad

BitDefender ha sido hasta el momento el último de los referentes mundiales en ciberseguridad que ha intentado esbozar cómo van a evolucionar las ciberamenazas en este recién estrenado año. En su análisis realiza siete pronósticos que permiten pensar que, aunque los ataques van a evolucionar en 2021, no habrá grandes novedades.

Recomendados: 

Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

Los que hayan seguido atentamente la actualidad relacionada con ciberseguridad en 2020, no se sorprenderán cuando lean las previsiones de los expertos de BitDefender para 2021. El panorama no mejorará, pero en el corto plazo no se esperan novedades, aunque amenazas como el phishing, el ransomware, las brechas de datos, la ciberdelincuencia como servicio o los ataques de firmware van a estar a la orden del día e irán evolucionando.

El especialista resume sus pronósticos en siete puntos:

Las violaciones de los datos corporativos se producirán en los hogares
A pesar de los esfuerzos de las organizaciones, las brechas de datos corporativos van a protagonizar la nueva normalidad. Con el crecimiento del teletrabajo, los empleados tienen cada vez más responsabilidad en lo que a ciberseguridad se refiere, y no siempre toman las mejores decisiones. Ordenadores personales y routers domésticos poco seguros, transferencia de información confidencial a través de canales no autorizados (aplicaciones de mensajería instantánea, direcciones de correo electrónico personales o servicios basados ​​en la nube) jugarán un papel clave en las filtraciones de datos.

Al mismo tiempo, la mayor presión sobre los equipos de TI y DevOps de las empresas tendrá un precio: servidores mal configurados dentro de las infraestructuras cloud, bases de datos y credenciales  expuestas de forma inadvertida…

Es probable que las pymes sean las más afectadas en lo que a filtración de datos se refiere, ya que las configuraciones incorrectas provocadas por la rápida transición a un modelo de trabajo en remoto dejarán atrás puntos ciegos de seguridad que los atacantes explotarán con toda probabilidad en los próximos 12 a 18 meses.

Los ataques de firmware se generalizan
A medida que se intensifica la competencia en el mundo del ciberdelito, los operadores de malware tratan de enterrar sus creaciones más profundamente dentro de los sistemas comprometidos. Los ataques contra el firmware, que en el pasado se consideraban extremadamente complejos y difíciles de lograr, probablemente se generalizarán en 2021. El mayor uso de herramientas como RwEverything podría conducir a un aumento significativo de los ataques de firmware, particularmente en sistemas que no han sido correctamente configurados para bloquear reescrituras no autorizadas. Es probable que los autores de ransomware también apunten al firmware del dispositivo para bloquearlo e inutilizar el sistema hasta que las víctimas paguen el rescate.

Las bandas de ransomware luchan por su supremacía
Desde 2014 el ransomware ha sido una forma de ciberdelito muy lucrativa, pero también muy competitiva, en la que sus operadores deben luchar para sobrevivir. Esta competencia no es nada buena para los usuarios tanto domésticos como corporativos, ya que la diversificación y el aumento de la sofisticación del malware solo consiguen que el descifrado resulte más complicado.

Este malware se perfecciona. Así, la firma pone como ejemplo que Trickbot , responsable de las infecciones con el ransomware Ryuk, está probando actualmente una técnica de compromiso UEFI (Unified Extensible Firmware Interface)  para garantizar su persistencia y resistencia. Además, explica que el campo del ransomware-as-a-service (MaaS) está abarrotado, pero siempre queda sitio para nuevos players. En 2020, muchos operadores de ransomware desarrollaron sus herramientas de malware para cubrir la exfiltración de datos, lo que les permitió chantajear a sus víctimas.

El grupo Maze, que se hizo famoso por ser uno de los primeros en robar datos antes de cifrar los endpoints de sus víctimas, ha anunciado su retirada, pero ya tiene sustituto. Ahora, más operadores buscan desplegar el mismo tipo de táctica, y un nuevo actor de MaaS, que utiliza el nombre de MountLocker, ha aumentado sus operaciones durante los últimos meses de 2020. La táctica actual de robar datos y cifrar endpoints va a ser la norma en 2021.

Cadena de suministro, espionaje industrial y APTs
Los ciberdelincuentes se van a centrar en la cadena de suministro. De manera similar a los recientes ataques de “Cold chain” a organizaciones que se ocupan del transporte de la vacuna contra el coronavirus o los ataques a los reguladores que gestionan su documentación, los ataques a la cadena de suministro se volverán más populares a lo largo de 2021. Ya sea por razones políticas o económicas, los ataques a la cadena de suministro probablemente afectarán a sectores que rara vez han sido objetivo en el pasado, como el sector inmobiliario.

Crecerán los ataques dirigidos a sectores de misión crítica. Los actores de amenazas se centrarán cada vez más en los sectores de investigación, industria farmacéutica y atención médica. Si bien los operadores de ransomware como servicio seguirán siendo los principales adversarios, los grupos de espionaje industrial probablemente ganarán peso.

En términos de amenazas sofisticadas, esperamos ver más APT dirigidas a víctimas de alto perfil utilizando señuelos geopolíticos. Muchos de estos ataques evolucionarán cada vez más en torno a marcos de pruebas de penetración para la escalada de privilegios y el movimiento lateral de recolección y descubrimiento de credenciales. También esperamos que estos ataques dirigidos aprovechen la ingeniería social, principalmente para la exfiltración de datos.

Nuevos ataques de phishing
El brote de coronavirus y la nueva normalidad del teletrabajo han servido como catalizador para la evolución del phishing. Tradicionalmente, los correos electrónicos de phishing eran fáciles de detectar debido a errores tipográficos, una redacción deficiente y falta de autenticidad en sus diseños. Solo los e-mails de spear phishing, que se dirigen a personas y organizaciones específicas, eran lo suficientemente sofisticados como para crear una imagen de legitimidad. Todo eso cambió cuando llegó la pandemia, ya que los ciberdelincuentes comenzaron a crear correos electrónicos que carecían de errores tipográficos, usaban jergas específicas de cada sector y utilizaban los logotipos originales de las organizaciones a las que suplantaban. Además, ahora aprovechan temas populares y copian la forma en la que los usuarios interactúan con los bancos o en sus contextos laborales.

El componente de ingeniería social de estas nuevas campañas de phishing ha alcanzado nuevas cotas de sofisticación, y los atacantes se centran más en la tasa de éxito de sus campañas que en el volumen de spam enviado. Como consecuencia, para el usuario resulta cada vez más complicado distinguir si un e-mail es falso o no, lo que hace que la eficacia de las campañas sea cada vez mayor. Es probable que el phishing centrado en temas de actualidad y con mensajes cada vez más perfectos siga creciendo durante este año.

El coronavirus va a seguir siendo el tema estrella del phishing a corto plazo. Los ciberdelincuentes van a seguir aprovechándose del miedo y de la ansiedad de las personas. Seguramente veremos campañas que ofrezcan el envío de vacunas a domicilio y pidan para ello datos personales y financieros del usuario.

Amenazas como servicio
Los delitos informáticos están adoptando un modelo de negocio as-a-service, algo que va a crecer en 2021. La modalidad ofuscación como servicio e, incluso,  APT como servicio transformarán el panorama de amenazas, introduciendo sofisticación para lograr eludir las defensas de seguridad tradicionales y llevar a cabo ataques altamente avanzados, todos ofrecidos al mejor postor. Las organizaciones tendrán que actualizar sus conocimientos y defensas para poder identificar tácticas y técnicas asociadas hasta la fecha con actores de amenazas muy sofisticados, ya que la pila de seguridad actual, especialmente en las pymes, no está muy bien equipada para controlar a los mercenarios de APT.

Nubes con contenedores vulnerables
Existen dos ataques que están ganando terreno muy rápidamente y en silencio. Uno es el malware dirigido a microcontenedores mal configurados o expuestos inadvertidamente. Se espera que aumenten los contenedores comprometidos que ahora se utilizan para casi todo, como la minería de criptomonedas.

También van a crecer los ataques que aprovechan la descarga lateral de archivos DLL (DLL hijacking) en las aplicaciones más populares. El flujo de ejecución del secuestro permite a los atacantes ejecutar código malicioso en el contexto de un proceso confiable y superar los firewalls y whitelists, así como cualquier otro software de seguridad empresarial. Principalmente presente en ataques dirigidos, esperamos que esta técnica se convierta en un estándar del malware comercial durante este año.