Cambio en las tácticas de las ciberamenazas
El panorama de la actividad maliciosa global de los últimos meses se ha centrado mayoritariamente en perjudicar sistemas informáticos para causar estragos en las organizaciones o ámbitos que los utilizan, y no tanto en el ánimo de lucro.
El último informe de seguridad OT/IoT de Nozomi Network Labs destaca que el malware wiper, la actividad de los botnet IoT y la guerra entre Rusia y Ucrania han condicionado el panorama de las ciberamenazas en 2022. Continuando con la tendencia que se observaba en el primer semestre de 2022, los investigadores del Nozomi Networks Labs han observado un cambio de tácticas de los hacktivistas, pasando del robo de datos y los ataques de denegación de servicio distribuido (DDoS) a utilizar un malware más destructivo en un intento de desestabilizar las infraestructuras críticas para afianzar su posición en la guerra entre Rusia y Ucrania.
"Durante los últimos seis meses, los ciberataques han aumentado significativamente, causando mayores trastornos en sectores que van desde el transporte a la sanidad", comenta Roya Gordon, evangelizador de Investigación de Seguridad OT/IoT de Nozomi Networks. "El ferrocarril, en particular, ha sido objeto de ataques, lo que ha dado lugar a la aplicación de medidas destinadas a proteger a los operadores ferroviarios y sus activos. A medida que evolucionan y se intensifican las ciberamenazas, es importante que las empresas entiendan cómo se dirigen los ciberdelincuentes a los entornos OT/IoT y las acciones requeridas para defender los activos críticos de los autores de amenazas".
El análisis realizado por Nozomi Networks Labs sobre las alertas de intrusión de los clientes en los últimos seis meses ha revelado que las principales amenazas de acceso a entornos de infraestructuras críticas fueron las contraseñas débiles o de texto plano y el cifrado débil. Le siguen los ataques DDoS y de fuerza bruta. Los troyanos fueron el malware más detectado en las redes informáticas de las empresas, las herramientas de acceso remoto (RAT) encabezaron el malware dirigido a OT, mientras que el malware DDoS lideró los ataques a los dispositivos IoT.
La actividad maliciosa de las botnets IoT siguió siendo alta y continuó en aumento en la segunda mitad de 2022. Nozomi Networks Labs descubrió crecientes problemas de seguridad a medida que las botnets continuaban utilizando credenciales predeterminadas en intentos de acceder a dispositivos IoT.
De julio a diciembre de 2022, Nozomi Networks encontró los siguientes honeypots o señuelos:
• Los ataques se dispararon en julio, octubre y noviembre, con más de 5.000 ataques únicos en cada uno de estos meses.
• Las principales direcciones IP desde las que se lanzaron los ataques estaban asociadas a China, Estados Unidos, Corea del Sur y Taiwán.
• Las credenciales "root" y "Admin" siguen siendo las más utilizadas por los autores de amenazas para obtener los datos de acceso y aumentar sus privilegios una vez dentro de la red.
En cuanto a vulnerabilidades, las fábricas y el sector energético continúan siendo los sectores más vulnerables, seguidos por las compañías de gestión de agua, salud y sistemas de transporte. En los últimos seis meses de 2022:
• La CISA lanzó 218 vulnerabilidades y exposiciones (CVEs) - un 61% menos que en el primer semestre;
• el 70% de los fabricantes fueron impactados - un 26% más que en el periodo anterior; y
• los productos afectados también aumentaron un 6% respecto al segundo semestre de 2021.