El ransomware se multiplicó por siete en el segundo semestre de 2020

Recomendados:  Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

El cibercrimen demostró su gran capacidad de adaptación creando olas de ataques disruptivos y sofisticados durante el segundo semestre de 2020, según el último informe de amenazas, realizado por FortiGuard Labs. Los investigadores de Fortinet destacan en este documento que 2020 fue un año de grandes retos de ciberseguridad, con el riesgo en sus cotas más altas.

Centrándose en la segunda mitad del año, sus datos han constatado que el ransomware se multiplicó por cinco y, siguiendo la estela de meses anteriores, los ciberdelincuentes atacaron los entornos de teletrabajo y de aprendizaje online, y las cadenas de suministro.

De forma resumida, estas son las principales conclusiones del estudio:

- El ransomware continúa imparable: la actividad global de ransomware se ha multiplicado por siete en relación al primer semestre de 2020. Los responsables de este aumento son muy variados. La evolución del ransomware como servicio (RaaS), con el enfoque de grandes rescates para grandes objetivos, y la amenaza de revelar los datos robados si no se cumplen las demandas, se combinaron para crear las condiciones para este crecimiento masivo. Además, con diferentes grados de prevalencia, las cepas de ransomware más activas que se rastrearon fueron Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING y BazarLoader.  

Entre los organizaciones más atacados se encuentran las sanitarias, las de servicios profesionales y las de servicios al consumidor, la administración pública y las empresas de servicios financieros. Para hacer frente con eficacia a este tipo de ataques, que no dejan de evolucionar, las organizaciones tendrán que asegurarse de que las copias de seguridad de los datos se realicen convenientemente, sean completas y estén segura fuera del sitio. También se debe valora implementar una estrategia de acceso y segmentación de confianza cero para minimizar el riesgo.

- La cadena de suministro se convierte en el centro de atención: los ataques a la cadena de suministro no son nuevos, pero la brecha de SolarWinds ha elevado el debate a nuevas cotas. A medida que se desarrollaba el ataque, las organizaciones afectadas compartieron una significativa cantidad de información, FortiGuard Labs monitorizó  la propagación de este ataque en la cadena de suministro utilizándolo para crear Indicadores de Compromiso (IoCs) para detectar la actividad. Las detecciones de las comunicaciones con la infraestructura de Internet asociada a SUNBURST durante diciembre de 2020 demuestran que la campaña era global, y que los Five Eyes mostraron índices especialmente altos de tráfico que coincidían con los IoC maliciosos. También hay pruebas de posibles objetivos indirectos que enfatizan el alcance interconectado de los ataques modernos a la cadena de suministro y la importancia de su gestión de riesgos.

- Los adversarios apuntan a sus movimientos online: el examen de las categorías de malware más frecuentes revela las técnicas más populares que utilizan los ciberdelincuentes para establecerse en las organizaciones. El principal objetivo de ataque fueron las plataformas de Microsoft, aprovechando los documentos que la mayoría de la gente utiliza y consume durante un día de trabajo. Los navegadores web siguieron siendo el otro frente de batalla. Esta categoría de HTML incluía sitios de phishing cargados de malware y scripts que inyectan código o redirigen a los usuarios a sitios maliciosos. Este tipo de amenazas aumenta inevitablemente en épocas de problemas globales o en períodos de auge del ecommerce. Los empleados, que suelen beneficiarse de los servicios de filtrado web cuando navegan desde la red corporativa, siguen estando más expuestos cuando lo hacen fuera de ese filtro protector.

- La oficina en casa sigue siendo un objetivo del cibercrimen: las barreras entre el hogar y la oficina se erosionaron significativamente en 2020, lo que significa que atacar el hogar pone a los adversarios un paso más cerca de la red corporativa. En la segunda mitad de 2020, los exploits dirigidos a los dispositivos del Internet de las Cosas (IoT), como los que existen en muchos hogares, ocuparon los primeros puestos de la lista. Cada dispositivo IoT introduce un nuevo perímetro de la red que necesita ser defendido y requiere la supervisión y aplicación de la seguridad en cada dispositivo.

- Más actividad dos grupos APT: los grupos de amenazas persistentes avanzadas (APT) siguen explotando la pandemia de diversas maneras. Entre las más comunes se encuentran los ataques centrados en la recopilación masiva de información personal, el robo de propiedad intelectual y la obtención de información de inteligencia alineada con las prioridades nacionales del grupo APT. A medida que se acercaba el final de 2020, se produjo un aumento de la actividad dirigida a organizaciones implicadas en el trabajo relacionado con el Covid-19, incluyendo la investigación de vacunas y el desarrollo de políticas sanitarias nacionales o internacionales en torno a la pandemia. Entre las organizaciones objetivo se encontraban agencias gubernamentales, empresas farmacéuticas, universidades y empresas de investigación médica.

- Siguen intentando explotar las vulnerabilidades: la aplicación de parches y la reparación son prioridades constantes para las organizaciones, ya que los ciberadversarios siguen intentando explotar estas vulnerabilidades. Al seguir la progresión de 1.500 exploits en los últimos dos años, los datos demuestran lo rápido y lo lejos que se propagan. Aunque no siempre es así, parece que la mayoría de los exploits no se propagan muy rápido. Entre todos los exploits rastreados en los últimos dos años, sólo el 5% fueron detectados por más del 10% de las organizaciones. En igualdad de condiciones, si se elige una vulnerabilidad al azar, los datos muestran que hay aproximadamente una probabilidad de 1 entre 1.000 de que una organización sea atacada. Alrededor del 6% de los exploits afectan a más del 1% de las empresas en el primer mes, e incluso después de un año, el 91% de los exploits no han superado ese umbral del 1%. En cualquier caso, sigue siendo prudente centrar los esfuerzos de corrección en las vulnerabilidades con exploits conocidos y, entre ellas, dar prioridad a las que se propagan más rápidamente.

Según el especialista, las organizaciones se enfrentan a un panorama de amenazas con ataques en todos los frentes, que exige una estrategia integrada y una gran concienciación. “La inteligencia artificial y la detección automatizada de amenazas se postulan como las soluciones para hacer mitigar los ataques a velocidad y escala en todos los perímetros”, asegura.