En una era de incertidumbre sin precedentes, con tantos dispositivos dispersos en las redes empresariales, es todo un reto para los profesionales de seguridad seguir el ritmo de las necesidades emergentes en el ámbito de seguridad.

Los incidentes recientes, las interrupciones a gran escala y el coste de las operaciones de ransomware ilustran el impacto creciente de las ciberamenazas en el riesgo empresarial de todas las industrias. Este riesgo es cada vez más difícil de controlar y mitigar tanto en entornos de IT como de OT.

Aunque el funcionamiento de los sistemas industriales es aún más fácil gracias a la virtualización en la nube y el avance de los dispositivos conectados a internet, estas tecnologías también están introduciendo nuevas vulnerabilidades y riesgos. En concreto, los dispositivos periféricos como el Internet de las cosas (IoT), interruptores y enrutadores funcionan en el perímetro de una red que controla el flujo de datos que entra y sale de la organización.

Los líderes en seguridad deben demostrar al equipo directivo y al consejo que entienden la importancia no solo de mantener la continuidad de las operaciones, sino también de trabajar en colaboración con toda la empresa para gestionar los riesgos de manera efectiva.

Tendencias clave

Tras el análisis en la primera mitad de 2021, el equipo de Cyber Threat Intelligence de Accenture ha identificado cuatro tendencias que están afectando a los entornos de la IT y la OT:

Los atacantes de ransomware prueban nuevos métodos de extorsión

Los actores de ransomware están ampliando la extorsión por fuga de datos y están trazando nuevos métodos para presionar a las víctimas. Las opciones de respuesta son cada vez más complicadas.

  • Los objetivos están cambiando: Los primeros meses de 2021 estuvieron orientados a proveedores de infraestructura y accesos, como las aseguradoras que manejan gran cantidad de datos.
  • Las tácticas se están endureciendo: El negociador de ransomware Coveware comunicó múltiples casos a finales de 2020 en los que los datos se destruyeron en lugar de encriptarse, lo que impidió la recuperación de los datos incluso después del pago del rescate.
  • La extorsión se está volviendo personal: Las nuevas tácticas de exposición, pioneras en 2020, han ganado velocidad agravando el daño de extorsión por fuga de datos y añadiendo daño reputacional a las listas de responsabilidad de las víctimas.
  • Las tácticas, las técnicas y los procedimientos (TTPS) son más avanzados: El equipo de Accenture Cyber Threat Intelligence ha identificado tácticas de evasión de defensa notables con operadores de ransomware de Hades que usan herramientas y acciones en el teclado para desactivar las defensas de los terminales.

Las organizaciones deben centrarse en la preparación, la prevención y las defensas precodificadas.

Cobalt Strike está en auge

El éxito actual y en auge del uso de Cobalt Strike muestra que la popularidad de la herramienta está creciendo. Una tendencia que, seguramente, continuará durante 2021.

  • Cobalt Strike está proliferando: Las últimas versiones de Cobalt Strike son cada vez más accesibles y personalizables que las versiones anteriores.
  • Las herramientas de ataque están evolucionando: Los actores de amenazas están mejorando sus propios cargadores a medida para Cobalt Strike.
  • El malware se está fusionando: Por primera vez, Accenture Cyber Threat Intelligence identificó solapamientos entre la infraestructura del malware EvilGrab que roba información y de Cobalt Strike Beacon a principios de 2021.

Las organizaciones deben adoptar nuevas herramientas defensivas que puedan contrarrestar esta amenaza creciente a las prueba de penetración en entornos críticos de producción.

El Commodity malware puede invadir la OT a partir del espacio IT

Un volumen elevado de crimeware acaba siendo un peligro, ya que permite mayores intrusiones en la red de una víctima que pueden amenazar tanto sistemas IT como sistemas OT.

  • El malware de primer nivel acaba permitiendo la implementación de más malware.
  • El uso de malware o herramientas de seguimiento por parte de actores de amenazas, como casos de Cobalt Strike pirateados y abusados, aumenta el riesgo de que las infecciones se propaguen por la infraestructura de la organización e incluso a los activos de OT.
  • Algunas de las campañas de malware activas fueron Qakbot e IcedID, DoppelDridex y Hancitor.

Las organizaciones deben tener en cuenta la prevención, más que la respuesta, como la defensa más efectiva contra las amenazas de malware.

Los actores de la Dark Web desafían a las redes de IT y OT

Los actores de amenazas se reúnen en foros para aumentar sus tácticas de presión, aprender a evitar las protecciones de seguridad y descubrir nuevas formas de monetizar los registros de malware.

  • El ransomware de CLOP y Hades están cambiando las reglas del juego: En los informes públicos de principios de 2021 se vinculó a los actores de ransomware de CLOP con una serie de incumplimientos de datos mundiales que explotaron una vulnerabilidad recién descubierta en el tan usado Accellion File Transfer Appliance (FTA). Los actores de ransomware de Hades también ganaron terreno a principios de 2021 y demostraron su habilidad a la hora de evitar herramientas de detección y respuesta de puntos de conexión, así como de alcanzar dispositivos periféricos y redes de OT.
  • La información es fácil de comprar e incluso más fácil de usar: El equipo de Accenture Cyber Threat Intelligence ha observado un ligero pero perceptible aumento en los actores de amenazas que venden registros de malware que son datos derivados de malware de robo de información.

Las organizaciones deben compartir información entre los defensores para entender, evitar, identificar y responder a las amenazas.

Xabier Mitxelena

Managing Director – Accenture Security, España, Portugal E Israel

MÁS INFORMACIÓN

Respuestas y recuperación de ramsonware
La importancia de la seguridad en la nube

Centro de suscripción
Continúa informado con nuestra newsletter Continúa informado con nuestra newsletter