Los cibercriminales recuperan viejas tácticas antes de la campaña navideña
Los ciberdelincuentes eluden las tácticas de phishing más populares para centrarse en los servicios publicados en el perímetro.
Fortinet, líder global en soluciones de ciberseguridad automatizadas e integradas, ha hecho públicos los últimos resultados de su Índice Global de Amenazas.
En referencia a este Índice, Derek Manky, Chief Security Insights & Global Threat Alliances en Fortinet, ha declarado que “los ciberdelincuentes siguen intentando ir por delante de los profesionales de la ciberseguridad. A la vez que desarrollan nuevas versiones de malware y ataques tipo zero day, también recuperan tácticas que anteriormente habían tenido éxito para maximizar las oportunidades en toda la superficie de ataque. Además de las estrategias esenciales como la aplicación de parches, la segmentación y la formación, las organizaciones también deben adoptar la automatización y la IA para mejorar su capacidad de correlacionar la información sobre amenazas y responder en tiempo real. No obstante, esta estrategia solo tendrá éxito si las organizaciones integran todos sus recursos de seguridad en una arquitectura que les ofrezca visibilidad y adaptación a través de una red en continua expansión”.
Entre las conclusiones ofrecidas por los expertos de Fortinet, se destaca que los ciberdelincuentes cambian los vectores de ataque, dirigiéndose a servicios disponibles al público ubicados en el perímetro de la red, para contrarrestar los esfuerzos de formación y educación de las organizaciones que se ocupan de las tácticas más conocidas como la suplantación de identidad (phishing). En términos generales, el Índice de Amenazas se mantuvo relativamente constante durante el trimestre lo que, lejos de dar un respiro a las organizaciones, confirma que cibercrimen no descansa y obliga a mantenerse en alerta.
• Aprovechar el efecto sorpresa: La mayoría del malware se distribuye vía email, por lo que muchas organizaciones han centrado sus esfuerzos en la formación de sus empleados y dotándoles de herramientas avanzadas de seguridad para el correo electrónico. Conscientes de ello, los ciberdelincuentes han optado por distribuir su malware malicioso a través de otros medios. Entre ellos es tendencia dirigirse a servicios publicados en el perímetro, como la infraestructura web, los protocolos de comunicaciones de red, así como burlar las herramientas de bloqueo de publicidad en el navegador, con el objetivo de abrir vectores de ataque que van más allá de las tácticas tradicionales de phishing. Este trimestre FortiGuard Labs identificó ataques contra vulnerabilidades que permitirían la ejecución de código de forma remota dirigiéndose a servicios publicados en el perímetro. Aunque esta táctica no es nueva, aplicarla cuando se bajan las defensas puede coger a las organizaciones desprevenidas y aumentar las posibilidades de éxito. Es una situación especialmente problemática antes de una temporada de compras cuando los servicios online experimentan una mayor actividad.
• Maximizar el potencial de ganancias: Siguiendo los pasos del lucrativo ransomware GandCrab, a disposición en la deep web como una solución de Ransomware-as-a-Service (RaaS), los cibercriminales están lanzando nuevos servicios para expandir su potencial de ganancias. Al tejer su red de colaboradores, los delincuentes son capaces de difundir ampliamente su ransomware y elevar sus ganancias. Los expertos de FortiGuard observaron que al menos dos familias importantes de ransomware -Sodinokibi y Nemty- se desplegaron como soluciones RaaS. Este es potencialmente el comienzo de lo que podría ser una avalancha de servicios similares en el futuro.
• Redefinición del malware: Los ciberdelincuentes también están perfeccionando el malware para evadir la detección y ofrecer ataques cada vez más sofisticados y maliciosos, como la evolución del malware de Emotet. Se trata de una evolución preocupante para las organizaciones, ya que los ciberdelincuentes utilizan cada vez más malware para reducir otras cargas útiles en los sistemas infectados a fin de maximizar sus oportunidades de obtener beneficios económicos. Recientemente, los atacantes han comenzado a utilizar Emotet como un mecanismo para distribuir cargas útiles para el ransomware, los ladrones de información y otros troyanos bancarios como TrickBot, IcedID y Zeus Panda. Además, al secuestrar hilos de correo electrónico de fuentes de confianza e insertar malware malicioso en ellos, los atacantes están aumentando significativamente la probabilidad de que se abran esos archivos adjuntos maliciosos.
• Maximizar las oportunidades con viejas vulnerabilidades y botnets: Dirigirse a los sistemas más antiguos y vulnerables que no han sido debidamente protegidos sigue siendo una estrategia de ataque eficaz. Los expertos de FortiGuard Labs descubrieron que los ciberdelincuentes destinan más esfuerzos a atacar vulnerabilidades antiguas - de doce o más años – que a crear nuevos ataques. Y de hecho, aprovechan las vulnerabilidades antiguas al mismo ritmo que las vulnerabilidades actuales.
Del mismo modo, esta tendencia a maximizar las oportunidades existentes también se extiende a las redes de bots. Más que cualquier otro tipo de amenaza, las principales botnets tienden a extenderse en el tiempo y pasar de un país a otro sin apenas alteración. Esto sugiere que la infraestructura de control es más permanente que las herramientas o capacidades particulares, y que los ciberdelincuentes no solo persiguen las nuevas oportunidades, sino que, al igual que las empresas legítimas, también aprovechan la infraestructura existente siempre que es posible para aumentar la eficiencia y reducir los gastos generales.
Protegerse de lo inesperado con una seguridad completa, integrada y automatizada
La superficie de ataque en expansión y las cambiantes estrategias de ataque de los ciberdelincuentes obligan a que las organizaciones no puedan permitirse el lujo de concentrarse demasiado en un conjunto reducido de amenazas. Es esencial que estas adopten un enfoque holístico para proteger sus entornos distribuidos y en red. Para ello se requiere el despliegue de una estructura de seguridad completa, integrada y automatizada. Este enfoque permitirá a las organizaciones reducir y gestionar la superficie de ataque en expansión al disponer de una gran visibilidad en todos los dispositivos integrados, detener las amenazas avanzadas mediante la prevención de infracciones impulsada por la IA y reducir la complejidad mediante operaciones y orquestación automatizadas. Además, una inteligencia de amenazas dinámica, proactiva y disponible en tiempo real puede ayudar a identificar tendencias que muestran la evolución de los métodos de ataque dirigidos a la superficie de ataque y a identificar las prioridades de ciberhigiene.