2022 será más complicado en términos de seguridad, según CyberArk

  • Actualidad

Las empresas han tenido que reforzar sus estrategias de seguridad en 2021 debido a la evolución de las ciberamenazas, y los próximos meses serán más complicados, de acuerdo con CyberArk. El especialista cree que el panorama de ciberseguridad va a verse alterado los próximos meses por la evolución de los ataques.

Recomendados: 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Identificación de ataques web Leer

Las nuevas técnicas de los ciberdelincuentes para perpetrar ataques más dañinos es una constante y, según CiberArk, la seguridad se va a complicar aún más debido a los nuevos escondites provocados por la nube, la virtualización y las tecnologías de contenedores. El ransomware como servicio y los ataques a la cadena de suministro estarán a la orden del día.

En sus predicciones para 2022, dos de sus expertos, Lavi Lazarovitz, Head of Security Research de Cyberark Labs y Shay Nahari, VP of Red Team, reflexionan sobre cómo serán los ataques en 2022 tras analizar la evolución de los incidentes de este año.

Por una parte, los atacantes emplearán software de código abierno (OSS, en su acrónimo inglés) para automatizar y ampliar sus ataques a la cadena de suministro.

La economía digital se ejecuta en software de código abierto, pero la existencia de innumerables librerías OSS “abiertas” y “gratuitas” también significa una superficie de ataque más amplia y la manera idónea para que los cibrdelincuentes eludan la detección y puedan hacer más daño.

La brecha de seguridad que afectó a Codecov el pasado abril nos dio una idea de cómo un ajuste sutil en una línea de código puede convertir una librería completamente benigna en una maliciosa, poniendo en riesgo a cualquier organización que la utilice. Con este método de infiltración altamente evasivo, los atacantes pueden robar credenciales para llegar a miles de organizaciones, a través de una cadena de suministro al unísono.

En los próximos doce meses, los atacantes continuarán buscando nuevas formas de comprometer las librerías de código abierto. En este sentido, las organizaciones deben aumentar la vigilancia, ya que estos ataques sutiles rara vez enviarán señales, lo que los hace extremadamente difíciles de detectar. Sobre todo, porque tales librerías se implementan como parte de las operaciones diarias legítimas y, en muchos casos, pueden parecer benignas. Además, dado que estos ataques automatizados son fáciles y rápidos de ejecutar, se volverán más frecuentes, repentinos y dañinos.

Por otro lado, se intensificarán los ataques a la cadena de suministro. En los últimos años, muchos ataques devastadores han comenzado como un vector de phishing. Históricamente, los ataques a la cadena de suministro han sido realizados por ciberdelincuentes patrocinados por un Estado que persigue objetivos de alto valor o con un alto retorno de la inversión (la brecha de Kaseya es uno de los muchos ejemplos). Sin embargo, los controles anti-phishing generalizados (a menudo descargados a los propios proveedores de la nube) han elevado el costo operativo de tales ataques. Como resultado, veremos que los ataques a la cadena de suministro se volverán más frecuentes y serán utilizados como un vector de ataque por una gran parte de los ciberdelincuentes, debido a un mayor retorno de la inversión, así como al hecho de que la cadena de suministro se está convirtiendo en el eslabón más débil de la cadena.

Por otro lado, a medida que la microvirtualización se vuelve más popular, los ciberdelincuentes pueden aislar el malware en estos sistemas virtuales mientras lo mantienen oculto de los controles de seguridad basados en host.

Y aunque estas novedosas técnicas de ataque no se han visto mucho, al menos de momento, algunos ciberdelincuentes están probando sistemas como Windows Subsystem for Linux (WSL), un subsistema que asegura los procesos de credenciales y autenticación, mientras buscan nuevas formas de comprometer las máquinas de endpoint.

Al ejecutar ransomware dentro de una infraestructura Linux, por ejemplo, Endpoint Detection and Response (EDR) y otras herramientas de seguridad de endpoints basadas en host, generalmente no pueden identificar la actividad maliciosa, lo que hace posible que los atacantes cifren o exfiltren datos con facilidad. Todo ello mientras se esconden a simple vista.

La evolución del ransomware como servicio (RaaS) acaba de comenzar. En 2022, el ransomware continuará evolucionando de una industria artesanal a algo más parecido a un círculo de especialistas. Veremos cómo se expande el ransomware impulsado por el operador, con una clara distinción entre las cargas útiles y los métodos de entrega de ransomware listos para usar, los profesionales cualificados que se mueven a través de las redes y los expertos que crean el código del ransomware real.

Se complica su detección
Además, la mayoría de las familias de ransomware actuales comparten tácticas, procedimientos y múltiples comportamientos técnicos (por ejemplo, la forma en que eliminan las funciones de cifrado de respaldo, realizan la ejecución inicial, etc.), cuyas herramientas de seguridad suelen encontrar denominadores comunes para detectar y bloquear. La adopción generalizada de herramientas de seguridad diseñadas para combatir el ransomware está obligando a los creadores de ransomware a innovar y encontrar diferentes métodos para evitar que se implementen detecciones comunes.