El cibercrimen no para: aumentan los ciberataques y su efectividad

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer La hoja de ruta de DevOps en materia de seguridad Leer

Este nuevo informe de la firma de seguridad Fortinet evidencia que, durante la primera mitad del año, se han producido más ciberataques “efectivos y destructivos”, con los ataques de ransomware creciendo de forma exponencial, así como claros incrementos del malvertising y las botnets. Además, han evolucionado las técnicas de ataque, que tienen hacia la evasión de la defensa y las tácticas de escalada de privilegios.

Sus datos apuntan que la actividad media semanal de ransomware en junio de 2021 fue más de diez veces superior a los niveles de hace un año, lo que demuestra que “se ha producido un aumento sostenido y generalizado en el último año”.

Las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS) que alimenta la ciberdelincuencia.

Vistos los datos, el análisis concluye que el ransomware sigue siendo un peligro evidente y presente para todas las organizaciones, independientemente de su sector o tamaño. Por ello es necesario adoptar un enfoque proactivo con soluciones de protección de endpoints en tiempo real, detección y respuesta automatizada para asegurar los entornos junto con un enfoque de acceso de confianza cero, segmentación de la red y cifrado.

Por otro lado, una de cada cuatro organizaciones ha detectado publicidad engañosa. En este sentido, la clasificación de la prevalencia de las principales detecciones por familias de malware muestra un aumento del malvertising y del scareware, un ámbito en la que Cryxos es la familia más notable. Además, según la firma, es probable que un gran volumen de las detecciones se combine con otras campañas similares en JavaScript que se considerarían malvertising.

Las botnets mantienen también un ritmo imparable ya que, a principios de año, el 35% de las organizaciones detectaron algún tipo de actividad de botnets, y seis meses después era el 51%.

TrickBot es el responsable de este pico de actividad de las redes de bots durante el mes de junio. Surgió originalmente en la escena de la ciberdelincuencia como un troyano bancario, pero desde entonces se ha convertido en un sofisticado kit de herramientas por fases que da soporte a una serie de actividades ilícitas. En términos generales, Mirai fue el más prevalente; superó a Gh0st a principios de 2020 y ha reinado desde entonces hasta bien entrado 2021. Mirai ha seguido añadiendo nuevas ciberarmas a su arsenal, pero es probable que su dominio se deba, al menos en parte, a que los delincuentes buscan explotar los dispositivos del Internet de las Cosas (IoT) utilizados por teletrabajadores o estudiantes online. También se ha registrado gran actividad en torno a Gh0st, una red de bots de acceso remoto que permite a los atacantes tomar el control total del sistema infectado, capturar imágenes en directo de la cámara web y el micrófono o descargar archivos.

Evolución de las técnicas de ataque
El estudio también revela valiosas pistas sobre cómo están evolucionando las técnicas de ataque en la actualidad. FortiGuard Labs analizó la funcionalidad del malware detectado detonando las muestras para observar cuál era el resultado previsto por sus creadores. El resultado fue una lista de consecuencias negativas que el malware habría logrado si las cargas útiles del ataque se hubieran ejecutado en los entornos objetivo. Esto demuestra que los delincuentes buscaban escalar privilegios, evadir las defensas, moverse lateralmente por los sistemas internos y exfiltrar datos comprometidos.

Por ejemplo, el 55% de las funciones de escalada de privilegios observadas aprovechaban el hooking y el 40% utilizaban la inyección de procesos. La conclusión es que hay un enfoque evidente hacia la evasión de la defensa y las tácticas de escalada de privilegios. Aunque estas técnicas no son novedosas, los defensores estarán mejor posicionados para protegerse contra futuros ataques, armados con este conocimiento oportuno.

Según el especialista, los enfoques de plataformas integradas e impulsadas por la inteligencia artificial (IA), potenciadas por la inteligencia de amenazas procesable, son esenciales para defender todos los perímetros e identificar y remediar las cambiantes amenazas a las que se enfrentan las organizaciones.