Informe de inteligencia sobre ciberamenazas Volumen 2

• Los principales objetivos de los países y las industrias siguen siendo los mismos: el número de ataques de ransomware disminuyó ligeramente. Estados Unidos fue nuevamente la principal región afectada por las amenazas de ransomware y extorsión, con aproximadamente el 45% del volumen de intrusiones en 2021. En cuanto a las industrias, la de la fabricación, los servicios financieros, la atención médica y la tecnología siguen siendo los sectores más atacados.

• Las disputas entre afiliados van en aumento: los antiguos afiliados de los grupos de ransomware divulgaron información sensible, lo que llevó a la proliferación de potentes herramientas y técnicas de ransomware.
• La infraestructura en la nube está en el punto de mira: en 2021, el malware relacionado con la nube evolucionó más rápido que el malware tradicional y el desarrollo de herramientas personalizadas aumentó la focalización de los ataques en la infraestructura de la nube.

Las organizaciones deben centrarse en la robustez de sus copias de seguridad externas, así como en la capacitación, la mejora de la autenticación, la aplicación de parches y los planes de respuestas.

• Se reportó un gran aumento de las amenazas: durante los meses de octubre y noviembre de 2021, numerosas publicaciones sobre ciberseguridad mencionaron campañas de ataques a la cadena de suministro que hacían referencia a compromisos de bibliotecas de desarrolladores y plataformas de software.
• Las amenazas de puerta trasera son más frecuentes: según datos de intrusión tomados por Accenture de las iniciativas de respuesta a incidentes, el 30% de las amenazas de malware que se observaron en 2021 fueron amenazas de puerta trasera, lo que las convierte en el segundo tipo de malware más prevalente, detrás del ransomware (33%).

Las organizaciones deben enfocarse en integrar las auditorías en los ciclos de DevOps, actualizar sus marcos de seguridad y sus proveedores de modelos de amenazas e introducir programas maduros en la cadena de suministro de software.

• Los infostealers son muy activos: según los datos disponibles, a noviembre de 2021, los infostealers (ladrones de información) más utilizados que proveen inventarios a los mercados clandestinos son Redline (53%), Vidar (35%), Taurus (4%), Racoon (4%) y Azorult (2%) (ver la Figura 4).
• La popularidad de los infostealers es variable: los sesgos en la recopilación de datos explican en parte la discrepancia entre los infostealers utilizados en las campañas oportunamente activas y los que se utilizaron para volcar los inventarios en los mercados clandestinos. Esta incoherencia también pone de manifiesto que los mercados clandestinos dependen de los infostealers más recientes.
• Redline crece más rápido: a pesar de tener solo el 4% de la cuota de mercado, el infostealer Redline está creciendo a un ritmo más rápido que los demás, luego de su participación en la filtración de datos de las entradas para los Juegos Olímpicos de Tokio de julio de 2021.

Las organizaciones deben enfocarse en proteger mejor sus entornos corporativos y ser conscientes del rápido aumento de la venta clandestina de “bots”, que permiten utilizar fácilmente los datos robados a través de un complemento del navegador.

• El rápido crecimiento de la nube facilita las oportunidades de ataque: la pandemia de COVID-19 aceleró aún más la adopción de la nube, abrió nuevas superficies de ataque y aumentó el interés de los actores maliciosos en atacar la infraestructura de la nube.
• La ampliación de la infraestructura abre la puerta a nuevas vulnerabilidades: los perpetradores de amenazas están secuestrando los servicios en la nube para explotar los beneficios de la infraestructura en la nube, recopilar datos confidenciales y desplegar ransomware. La expansión de la infraestructura en la nube también crea una infraestructura de mando y control muy escalable y fiable, además de redes de robots (botnets).
• Las amenazas de las herramientas centradas en la nube están aumentando: TeamTNT, un grupo de amenazas de origen alemán, ha creado un conjunto sumamente evolucionado y activo de herramientas centradas en la nube. El grupo es conocido por minar criptomonedas a través de la explotación de recursos en la nube –también conocido como cryptojacking– y por instalar en los sistemas comprometidos un bot llamado “Tsunami”, que puede vulnerar plataformas en la nube como Google Cloud o AWS.

Las organizaciones deben enfocarse en auditar y examinar las desconfiguraciones de la nube, adoptar un marco de gestión de identidades y accesos y establecer la autenticación multifactor.

• Los atacantes están ocupados vendiendo o comprando exploits de CVE: Accenture analizó 45 casos de usuarios clandestinos que querían vender o comprar exploits para vulnerabilidades y exposiciones comunes (CVE).
• Los atacantes tienen tres vulnerabilidades principales que compran y venden: los tres exploits de CVE más populares en el mercado son para CVE-2021-34473, CVE-2021-20016 y CVE-2021-31206. La explotación exitosa de cada uno de ellos permite a un adversario remoto el acceso no autorizado a una red de la víctima y la ejecución de código arbitrario en un host víctima.
• Los atacantes comienzan a sacar provecho de la vulnerabilidad de Log4j: en diciembre de 2021, los mantenedores de Log4j informaron detalles de una vulnerabilidad de ejecución remota de código identificada como CVE-2021-44228 o como Log4Shell, que podría permitir a los atacantes ejecutar código arbitrario en un host vulnerable.

Las organizaciones deben enfocarse en defender enérgicamente el acceso a su red, retomar los fundamentos de la seguridad –como la gestión periódica de correcciones y las pruebas proactivas– y actualizar Log4j a la versión 2.17.0 para Java 8 y a la versión 2.12.2 para Java 7.