El cibercrimen con motivación financiera supuso el 73,9% de los incidentes de la segunda mitad de 2022

  • Actualidad
ciberdelito - priorizacion

De acuerdo con el Índice Global de Amenazas de los expertos de FortiGuard Labs, correspondiente al segundo semestre del año, casi cuatro de cada cinco incidentes tuvieron una motivación financiera, muy por delante del atribuido al espionaje (13%).

  Recomendados....
 

» Encuentro ITDM Group: Cloud como palanca de crecimiento Registro
» ¿Cómo potenciar las estrategias de seguridad y ciber resiliencia de tu compañía? Webinar  (16 marzo)
» Estrategia segura de eliminación de activos informáticos Leer

El especialista en ciberseguridad acaba de publicar su último Índice de Amenazas Globales de su equipo de inteligencia de amenazas. Corresponde a los últimos seis meses de 2022, con lo cual ya incluye conclusiones sobre la evolución del cibercrimen en el conjunto del año.

Una de ellas es que distribución masiva del malware Wiper sigue mostrando la evolución destructiva de los ciberataques. En este sentido, el informe revela la tendencia de los ciberdelincuentes a utilizar sistemáticamente técnicas de ataque destructivas contra sus objetivos. También muestra que, debido a la falta de fronteras en Internet, los ciberdelincuentes pueden escalar fácilmente este tipo de ataques, en gran medida gracias al modelo de ciberdelincuencia como servicio (CaaS).

A principios de 2022, FortiGuard Labs informó de la presencia de varios Wipers nuevos, surgidos en paralelo a la guerra entre Rusia y Ucrania. A lo largo del año, el malware Wiper se expandió a otros países, registrándose un aumento del 53% de su actividad sólo del tercer al cuarto trimestre. Aunque parte de este incremento podría deberse a que Wiper pudo haber sido desarrollado y desplegado inicialmente por agentes de los Estados-nación en torno a la guerra, está siendo recogido por grupos de ciberdelincuentes y se está extendiendo más allá de Europa. Por desgracia, la trayectoria del destructivo malware Wiper no parece que vaya a ralentizarse a corto plazo, según el volumen de actividad observado en el cuarto trimestre, lo que significa que toda organización sigue siendo un objetivo potencial, no sólo aquellas con sede en Ucrania o en los países vecinos.

Ransomware en busca de dinero
El área de Respuesta a Incidentes (IR) de FortiGuard Labs ha determinado que el cibercrimen con motivación financiera generó el mayor volumen de incidentes (73,9%), muy por delante del atribuido al espionaje (13%).

En todo el año 2022, el 82% de los ciberdelitos con fines económicos utilizaron ransomware o scripts maliciosos, lo que demuestra que la amenaza global de ransomware sigue en plena vigencia sin evidencia de desaceleración gracias a la creciente popularidad de Ransomware-as-a-Service (RaaS) en la dark web.

De hecho, el volumen de ransomware aumentó un 16% con respecto al primer semestre de 2022. De un total de 99 familias de ransomware observadas, las cinco principales representaron aproximadamente el 37% de toda la actividad de ransomware durante la segunda mitad del año. GandCrab, un malware RaaS que surgió en 2018, encabezaba la lista. Aunque los delincuentes detrás de GandCrab anunciaron que se retiraban después de obtener más de 2.000 millones de dólares de beneficios, durante el tiempo que este ransomware estuvo activo proliferaron sus variantes. Es posible que el legado a largo plazo de este grupo delictivo siga perpetuándose, o que el código simplemente se haya desarrollado, modificado y relanzado, poniendo en valor la importancia de las asociaciones globales entre todo tipo de organizaciones para desmantelar las operaciones delictivas. La desarticulación eficaz de las cadenas de suministro de los ciberdelincuentes requiere un esfuerzo coordinado a nivel mundial basado en relaciones sólidas y de confianza y en la colaboración entre las partes interesadas en la ciberseguridad de organizaciones e industrias públicas y privadas.

Ingenio de los cibercriminales
Los ciberdelincuentes son emprendedores por naturaleza y siempre buscan maximizar las inversiones y los conocimientos existentes para que sus ataques sean más eficaces y rentables. La reutilización de código es una forma eficiente y lucrativa para lograr sus objetivos, a la vez que realizan cambios en las variantes del malware para afinar sus ataques y superar los obstáculos defensivos.

Cuando FortiGuard Labs analizó el malware más prevalente en la segunda mitad de 2022, la mayoría de los primeros puestos estaban ocupados por malware con más de un año de antigüedad. FortiGuard Labs examinó además una colección de diferentes variantes de Emotet para analizar su tendencia a tomar prestado y reutilizar código. La investigación mostró que Emotet ha pasado por una evolución significativa con variantes que se dividen en aproximadamente seis "especies" diferentes de malware. Es decir, los ciberdelincuentes no se limitan a automatizar las amenazas, sino que adaptan activamente el código para hacerlo aún más eficaz.

Redes de bots
Además de la reutilización de código, los atacantes también aprovechan la infraestructura existente y las amenazas más antiguas para maximizar las oportunidades. Al examinar la prevalencia de las amenazas de redes de bots, FortiGuard Labs descubrió que muchas de las principales redes de bots no son nuevas. Por ejemplo, la red Morto, que se observó por primera vez en 2011, se disparó a finales de 2022. Y otras como Mirai y Gh0st.Rat siguen siendo frecuentes en todas las regiones. Sorprendentemente, de las cinco principales redes de bots observadas, solo RotaJakiro es de esta década.

Aunque pueda resultar tentador dar por olvidadas las amenazas más antiguas, es necesario mantenerse alerta. Estas redes de bots "antiguas" están omnipresentes por una razón: siguen siendo altamente eficaces. Los ciberdelincuentes con más recursos seguirán aprovechando la infraestructura de botnets existente y la mejorarán con versiones cada vez más persistentes gracias a técnicas altamente especializadas, ya que el retorno de la inversión es importante. En concreto, en la segunda mitad de 2022, entre los objetivos más importantes de Mirai se encontraban los proveedores de servicios de seguridad gestionados (MSSP), el sector de las telecomunicaciones y las operadoras, y el sector industrial, conocido por su omnipresente tecnología operativa (OT). Los delincuentes se coordinan para atacar estas industrias con métodos ya probados.

Log4j, en el punto de mira de los ciberdelincuentes
Incluso con toda la publicidad que Log4j tuvo en 2021 y principios de 2022, un número significativo de organizaciones todavía no han parcheado o aplicado los controles de seguridad adecuados para protegerse contra una de las vulnerabilidades más notables de la historia.

En la segunda mitad de 2022, Log4j seguía siendo muy activo en todas las regiones. De hecho, FortiGuard Labs confirmó que el 41% de las organizaciones detectaron actividad de Log4j, lo que confirma lo extendida que sigue estando esta amenaza. La actividad de Log4j IPS fue más frecuente en los sectores tecnológico, gubernamental y educativo, lo que no debería sorprender, dada la popularidad de Apache Log4j como software de código abierto.

Urgencia de concienciar a los usuarios
El análisis de las estrategias de los cibercriminales nos proporciona información valiosa sobre cómo están evolucionando las técnicas y tácticas de ataque para protegernos mejor ante futuros escenarios. FortiGuard Labs observó la funcionalidad del malware detectado, basado en datos de sandbox, para rastrear cómo se extendía. Es importante tener en cuenta que esto sólo se refiere a las muestras detonadas dentro de un sandbox.

Al revisar las ocho principales tácticas y técnicas observadas en el sandboxing, el drive-by-compromise fue la táctica más popular utilizada por los delincuentes para acceder a los sistemas de las organizaciones en todas las regiones del mundo. Los delincuentes acceden principalmente a los sistemas de las víctimas cuando el usuario desprevenido navega por Internet y descarga involuntariamente una carga maliciosa visitando un sitio web comprometido, abriendo un archivo adjunto malicioso en un correo electrónico o incluso haciendo clic en un enlace o en una ventana emergente engañosa. El problema de la táctica drive-by es que una vez que se accede a la carga maliciosa y se descarga, a menudo es demasiado tarde para que el usuario pueda escapar del peligro, a menos que tenga un enfoque holístico de la seguridad.