Estas han sido las principales ciberamenazas en 2022, según Cisco Talos

  • Actualidad

ciberamenazas

Basándose en sus herramientas de telemetría y en las respuestas frente a amenazas, la división de ciberinteligencia de Cisco ha publicado un informe que recoge las ciberamenazas que han predominado el año pasado, entre ellas el ransomware, las ATPs y el malware personalizado.

El informe de Cisco Talos destaca que el cibercrimen se está adaptando a los cambios en el panorama geopolítico, a las acciones de las fuerzas de seguridad y a los esfuerzos de los defensores, por lo que “las organizaciones tendrán que seguir y abordar estos cambios de comportamiento para mantener su capacidad de resiliencia", señala Martin Lee, su director técnico para EMEA.

De hecho, una de sus conclusiones es que que el contexto geopolítico condiciona los ataques. Los defensores deben comprender las motivaciones de los ciberdelincuentes y disponer de metodologías de seguimiento e inteligencia frente a amenazas. Ucrania sigue siendo objetivo de ataques, desde robo de información hasta actividades APT, pero también otros países proucranianos han sufrido campañas de phishing y de denegación de servicio dirigidas por grupos como Mustang Panda y Killnet.

Aparte del aumento del riesgo asociado al escenario geopolítico, destaca estas otras ciberamenazas:

- 'Democratización' del ransomware. A medida que surgían nuevos grupos de ransomware como servicio (RaaS) y otros cambiaban de marca o cerraban sus operaciones, el ransomware ha seguido siendo una amenaza especialmente relevante durante 2022, con atacantes más diversos, educación como el sector más afectado y Lockbit y Hive como el malware más activo.

- Herramientas legítimas y técnicas antiguas. Los ciberdelincuentes continúan evolucionando para utilizar los avances en defensa contra los propios defensores, aprovechando software legítimo y herramientas internas de sistemas como PowerShell. Con los esfuerzos de Microsoft para desactivar las macros, los ataques se han trasladado a otros tipos de archivos, y también han resurgido algunas técnicas más antiguas y menos sofisticadas como la actividad maliciosa USB.

- Commodity Loaders. Originalmente troyanos bancarios, los 'commodity loaders' han evolucionado hasta convertirse en sofisticadas amenazas con cadenas de ataque multifase. Qakbot, Emotet, IcedID y Trickbot han sido los más activos, persistiendo a pesar de los esfuerzos masivos de desmantelamiento y añadiendo nuevas características que complican su detección.

- Log4j. Casi un año después de que se descubrieran las vulnerabilidades de Log4j (librería de software de código abierto ampliamente extendida), los ciber-delincuentes siguen aprovechando los fallos de seguridad a un ritmo elevado: sólo en enero su actividad aumentó el 40%. Estos intentos de explotación son muy utilizados por actores-estado en campañas ofensivas, y seguirán representado una de las amenazas más comunes en 2023.

- Amenazas persistentes avanzadas (APTs). Rusia, China, Irán y Corea del Norte han seguido siendo los principales países emisores de ciber-campañas basadas en estas amenazas, con ataques que utilizan malware personalizado y nuevas variantes de malware ya conocido.