Wiper aumenta en más de un 50 por ciento en tan sólo un trimestre
El cibercrimen con motivación financiera generó el mayor volumen de incidentes.
Fortinet, líder global de ciberseguridad, ha publicado el Índice de Amenazas Globales de su equipo de inteligencia de amenazas, FortiGuard Labs que destaca que el panorama de amenazas y la superficie de ataque de las organizaciones se transforman constantemente, y la capacidad de los ciberdelincuentes para diseñar y adaptar sus técnicas a este entorno en evolución sigue planteando un riesgo significativo para las empresas de todos los tamaños, independientemente de su sector o geografía.
Para Derek Manky, Chief Security Strategist & Global VP Threat Intelligence en FortiGuard Labs “Para los ciberadversarios, mantener el acceso y eludir la detección no es tarea fácil, ya que las ciberdefensas siguen avanzando para proteger a las organizaciones. Para contrarrestar esta acción, los cibecriminales incrementan sus técnicas de reconocimiento y despliegan alternativas de ataque más sofisticadas en sus intentos destructivos, aplicando métodos de amenaza similares a las tácticas de ciberdelincuencia persistente avanzada, como el malware Wiper u otros ataques avanzados. Para protegerse, las organizaciones deben centrarse en una inteligencia de amenazas coordinada y procesable basada en aprendizaje automático en tiempo real en todos los dispositivos de seguridad, que les permita detectar acciones sospechosas e iniciar la mitigación coordinada en toda la superficie de ataque”.
Wiper, un malware altamente destructivo
El análisis de los datos del malware Wiper revela la tendencia de los ciberdelincuentes a utilizar sistemáticamente técnicas de ataque destructivas contra sus objetivos. También muestra que, debido a la falta de fronteras en Internet, los ciberdelincuentes pueden escalar fácilmente este tipo de ataques, en gran medida gracias al modelo de ciberdelincuencia como servicio (CaaS).
A principios de 2022, FortiGuard Labs informó de la presencia de varios Wipers nuevos, surgidos en paralelo a la guerra entre Rusia y Ucrania. A lo largo del año, el malware Wiper se expandió a otros países, registrándose un aumento del 53% de su actividad sólo del tercer al cuarto trimestre. Aunque parte de este incremento podría deberse a que Wiper pudo haber sido desarrollado y desplegado inicialmente por agentes de los Estados-nación en torno a la guerra, está siendo recogido por grupos de ciberdelincuentes y se está extendiendo más allá de Europa. Por desgracia, la trayectoria del destructivo malware Wiper no parece que vaya a ralentizarse a corto plazo, según el volumen de actividad observado en el cuarto trimestre, lo que significa que toda organización sigue siendo un objetivo potencial, no sólo aquellas con sede en Ucrania o en los países vecinos.
Identificar las zonas rojas de la ciberdelincuencia para priorizar esfuerzos y recursos
Las tendencias de explotación nos permiten conocer lo que los cibercriminales están interesados en atacar, lo que están sondeando para futuros ataques y lo que ya están atacando activamente. FortiGuard Labs cuenta con un extenso archivo de vulnerabilidades conocidas y, a través del enriquecimiento de datos, ha sido capaz de identificar vulnerabilidades explotadas de forma activa en tiempo real y mapear zonas de riesgo activo a través de la superficie de ataque.
En la segunda mitad de 2022, menos del 1% del total de vulnerabilidades observadas descubiertas en una organización de tamaño empresarial se encontraban en endpoints y bajo ataque activo, lo que proporciona a los CISOs una visión clara de la Zona Roja y dónde deben priorizar los esfuerzos para minimizar su riesgo y centrar el parcheo.
Ransomware en busca de dinero
El área de Respuesta a Incidentes (IR) de FortiGuard Labs ha determinado que el cibercrimen con motivación financiera generó el mayor volumen de incidentes (73,9%), muy por delante del atribuido al espionaje (13%).
En todo el año 2022, el 82% de los ciberdelitos con fines económicos utilizaron ransomware o scripts maliciosos, lo que demuestra que la amenaza global de ransomware sigue en plena vigencia sin evidencia de desaceleración gracias a la creciente popularidad de Ransomware-as-a-Service (RaaS) en la dark web.
De hecho, el volumen de ransomware aumentó un 16 % con respecto al primer semestre de 2022. De un total de 99 familias de ransomware observadas, las cinco principales representaron aproximadamente el 37% de toda la actividad de ransomware durante la segunda mitad del año. GandCrab, un malware RaaS que surgió en 2018, encabezaba la lista. Aunque los delincuentes detrás de GandCrab anunciaron que se retiraban después de obtener más de 2.000 millones de dólares de beneficios, durante el tiempo que este ransomware estuvo activo proliferaron sus variantes. Es posible que el legado a largo plazo de este grupo delictivo siga perpetuándose, o que el código simplemente se haya desarrollado, modificado y relanzado, poniendo en valor la importancia de las asociaciones globales entre todo tipo de organizaciones para desmantelar las operaciones delictivas. La desarticulación eficaz de las cadenas de suministro de los ciberdelincuentes requiere un esfuerzo coordinado a nivel mundial basado en relaciones sólidas y de confianza y en la colaboración entre las partes interesadas en la ciberseguridad de organizaciones e industrias públicas y privadas.
La reutilización de código demuestra el ingenio de los cibercriminales
Los ciberdelincuentes son emprendedores por naturaleza y siempre buscan maximizar las inversiones y los conocimientos existentes para que sus ataques sean más eficaces y rentables. La reutilización de código es una forma eficiente y lucrativa para lograr sus objetivos, a la vez que realizan cambios en las variantes del malware para afinar sus ataques y superar los obstáculos defensivos.
Cuando FortiGuard Labs analizó el malware más prevalente en la segunda mitad de 2022, la mayoría de los primeros puestos estaban ocupados por malware con más de un año de antigüedad. FortiGuard Labs examinó además una colección de diferentes variantes de Emotet para analizar su tendencia a tomar prestado y reutilizar código. La investigación mostró que Emotet ha pasado por una evolución significativa con variantes que se dividen en aproximadamente seis "especies" diferentes de malware. Es decir, los ciberdelincuentes no se limitan a automatizar las amenazas, sino que adaptan activamente el código para hacerlo aún más eficaz.
La resurrección de la red de bots más antigua
Además de la reutilización de código, los atacantes también aprovechan la infraestructura existente y las amenazas más antiguas para maximizar las oportunidades. Al examinar la prevalencia de las amenazas de redes de bots, FortiGuard Labs descubrió que muchas de las principales redes de bots no son nuevas. Por ejemplo, la red Morto, que se observó por primera vez en 2011, se disparó a finales de 2022. Y otras como Mirai y Gh0st.Rat siguen siendo frecuentes en todas las regiones. Sorprendentemente, de las cinco principales redes de bots observadas, solo RotaJakiro es de esta década.
Aunque pueda resultar tentador dar por olvidadas las amenazas más antiguas, es necesario mantenerse alerta. Estas redes de bots "antiguas" son omnipresentes por una razón: siguen siendo altamente eficaces. Los ciberdelincuentes con más recursos seguirán aprovechando la infraestructura de botnets existente y la mejorarán con versiones cada vez más persistentes gracias a técnicas altamente especializadas, ya que el retorno de la inversión es importante. En concreto, en la segunda mitad de 2022, entre los objetivos más importantes de Mirai se encontraban los proveedores de servicios de seguridad gestionados (MSSP), el sector de las telecomunicaciones y las operadoras, y el sector industrial, conocido por su omnipresente tecnología operativa (OT). Los delincuentes se coordinan para atacar estas industrias con métodos ya probados.
Log4j, en el punto de mira de los ciberdelincuentes
Incluso con toda la publicidad que Log4j tuvo en 2021 y principios de 2022, un número significativo de organizaciones todavía no han parcheado o aplicado los controles de seguridad adecuados para protegerse contra una de las vulnerabilidades más notables de la historia.
En la segunda mitad de 2022, Log4j seguía siendo muy activo en todas las regiones. De hecho, FortiGuard Labs confirmó que el 41% de las organizaciones detectaron actividad de Log4j, lo que confirma lo extendida que sigue estando esta amenaza. La actividad de Log4j IPS fue más frecuente en los sectores tecnológico, gubernamental y educativo, lo que no debería sorprender, dada la popularidad de Apache Log4j como software de código abierto.
Análisis de la historia del malware, la urgencia de concienciar a los usuarios
El análisis de las estrategias de los cibercriminales nos proporciona información valiosa sobre cómo están evolucionando las técnicas y tácticas de ataque para protegernos mejor ante futuros escenarios. FortiGuard Labs observó la funcionalidad del malware detectado, basado en datos de sandbox, para rastrear cómo se extendía. Es importante tener en cuenta que esto sólo se refiere a las muestras detonadas dentro de un sandbox.
Al revisar las ocho principales tácticas y técnicas observadas en el sandboxing, el drive-by-compromise fue la táctica más popular utilizada por los delincuentes para acceder a los sistemas de las organizaciones en todas las regiones del mundo. Los delincuentes acceden principalmente a los sistemas de las víctimas cuando el usuario desprevenido navega por Internet y descarga involuntariamente una carga maliciosa visitando un sitio web comprometido, abriendo un archivo adjunto malicioso en un correo electrónico o incluso haciendo clic en un enlace o en una ventana emergente engañosa. El problema de la táctica drive-by es que una vez que se accede a la carga maliciosa y se descarga, a menudo es demasiado tarde para que el usuario pueda escapar del peligro, a menos que tenga un enfoque holístico de la seguridad.
