Evolución de ciberamenazas
Aunque siempre puede haber sorpresas, los expertos de Bitdefender consideran que el panorama de ciberamenazas va a moverse en los siguientes escenarios durante este año:
1.- Las violaciones de los datos corporativos se producirán en los hogares
A pesar de los esfuerzos de las organizaciones, las brechas de datos corporativos van a protagonizar la nueva normalidad. Con el crecimiento del teletrabajo, los empleados tienen cada vez más responsabilidad en lo que a ciberseguridad se refiere, y no siempre toman las mejores decisiones. Ordenadores personales y routers domésticos poco seguros, transferencia de información confidencial a través de canales no autorizados -aplicaciones de mensajería instantánea, direcciones de correo electrónico personales o servicios basados en la nube- jugarán un papel clave en las filtraciones de datos.
Al mismo tiempo, la mayor presión sobre los equipos de TI y DevOps de las empresas tendrá un precio: servidores mal configurados dentro de las infraestructuras cloud, bases de datos y credenciales expuestas de forma inadvertida...
Es probable que las pymes sean las más afectadas en lo que a filtración de datos se refiere, ya que las configuraciones incorrectas provocadas por la rápida transición a un modelo de trabajo en remoto dejarán atrás puntos ciegos de seguridad que los atacantes explotarán con toda probabilidad durante los próximos 12 a 18 meses.
2.- Los ataques de firmware se generalizan
A medida que se intensifica la competencia en el mundo del ciberdelito, los operadores de malware tratan de enterrar sus creaciones más profundamente dentro de los sistemas comprometidos. Los ataques contra el firmware, que en el pasado se consideraban extremadamente complejos y difíciles de lograr, probablemente se generalizarán en 2021. El mayor uso de herramientas como RwEverything podría conducir a un aumento significativo de los ataques de firmware, particularmente en sistemas que no han sido correctamente configurados para bloquear reescrituras no autorizadas. Es probable que los autores de ransomware también apunten al firmware del dispositivo para bloquearlo e inutilizar el sistema hasta que las víctimas paguen el rescate.
3.- Las bandas de ransomware luchan por su supremacía
Desde 2014 el ransomware ha sido una forma de ciberdelito muy lucrativa, pero también muy competitiva, en la que sus operadores deben luchar para sobrevivir. Esta competencia no es nada buena para los usuarios tanto domésticos como corporativos, ya que la diversificación y el aumento de la sofisticación del malware solo consiguen que el descifrado resulte más complicado.
• El malware relacionado con el ransomware se perfecciona. El malware Trickbot , responsable de las infecciones con el ransomware Ryuk, está probando actualmente una técnica de compromiso UEFI (Unified Extensible Firmware Interface) para garantizar su persistencia y resistencia.
• El espacio del ransomware-as-a-service ( MaaS ) está abarrotado, pero siempre queda sitio para nuevos players. En 2020, muchos operadores de ransomware desarrollaron sus herramientas de malware para cubrir la exfiltración de datos, lo que les permitió chantajear a sus víctimas. El grupo Maze ha anunciado su retirada, pero ya tiene sustituto.
• Maze se hizo famoso al ser uno de los primeros en robar datos antes de cifrar los endpoints de sus víctimas. Ahora, más operadores buscan desplegar el mismo tipo de táctica, y un nuevo player de MaaS, que utiliza el nombre de MountLocker, ha aumentado sus operaciones durante los últimos meses de 2020 en busca de afiliados. La táctica actual de robar datos y cifrar endpoints va a ser la norma en 2021.
Estas tres áreas experimentarán importantes cambios a media que los ciberdelincuentes intensifiquen su actividad:
• Los routers y ordenadores domésticos continuarán siendo pirateados. Los expertos en secuestrar dispositivos alquilarán el acceso a otros grupos que buscan capacidades distribuidas de comando y control o los venderán a operadores underground para que sean reutilizados como nodos proxy destinados a ocultar actividades maliciosas.
• Las operaciones ilegales de criptominería se incrementarán durante 2021. En un momento en el que el mundo se prepara para afrontar las consecuencias financieras de la epidemia, las principales criptomonedas, como Bitcoin, Monero y Ethereum han ganado valor. Es probable que los grupos de ciberdelincuencia especializados en minería ilegal intensifiquen sus esfuerzos para infectar y minar de forma encubierta criptomonedas sobre infraestructuras domésticas y de centro de datos.
• El malware para MacOS y Android va en aumento. En 2020 ya documentamos varias campañas de malware distribuidas a través de Google Play Store. Las familias de malware como Joker, HiddenAds y varios troyanos bancarios apenas han salido a la superficie. Seguramente aparecerán nuevas campañas APT.
4.- Cadena de suministro , espionaje industrial y amenazas persistentes avanzadas
Los ciberdelincuentes se van a centrar en la cadena de suministro. De manera similar a los recientes ataques de "Cold chain" a organizaciones que se ocupan del transporte de la vacuna contra el coronavirus o los ataques a los reguladores que gestionan su documentación, los ataques a la cadena de suministro se volverán más populares a lo largo de 2021. Ya sea por razones políticas o económicas, los ataques a la cadena de suministro probablemente afectarán a sectores que rara vez han sido objetivo en el pasado, como el sector inmobiliario.
Crecerán los ataques dirigidos a sectores de misión crítica. Los actores de amenazas se centrarán cada vez más en los sectores de investigación, industria farmacéutica y atención médica. Si bien los operadores de ransomware como servicio seguirán siendo los principales adversarios, los grupos de espionaje industrial probablemente ganarán peso.
En términos de amenazas sofisticadas, esperamos ver más APT dirigidas a víctimas de alto perfil utilizando señuelos geopolíticos. Muchos de estos ataques evolucionarán cada vez más en torno a marcos de pruebas de penetración para la escalada de privilegios y el movimiento lateral de recolección y descubrimiento de credenciales. También esperamos que estos ataques dirigidos aprovechen la ingeniería social, principalmente para la exfiltración de datos.
5.- Nueva normalidad, nuevos ataques de phishing
El brote de coronavirus y la nueva normalidad del teletrabajo han servido como catalizador para la evolución del phishing. Tradicionalmente, los correos electrónicos de phishing eran fáciles de detectar debido a errores tipográficos, una redacción deficiente y falta de autenticidad en sus diseños. Solo los e-mails de spear phishing, que se dirigen a personas y organizaciones específicas, eran lo suficientemente sofisticados como para crear una imagen de legitimidad. Todo eso cambió cuando llegó la pandemia, ya que los ciberdelincuentes comenzaron a crear correos electrónicos que carecían de errores tipográficos, usaban jergas específicas de cada sector y utilizaban los logotipos originales de las organizaciones a las que suplantaban. Además, ahora aprovechan temas populares y copian la forma en la que los usuarios interactúan con los bancos o en sus contextos laborales.
El componente de ingeniería social de estas nuevas campañas de phishing ha alcanzado nuevas cotas de sofisticación, y los atacantes se centran más en la tasa de éxito de sus campañas que en el volumen de spam enviado. Como consecuencia, para el usuario resulta cada vez más complicado distinguir si un e-mail es falso o no, lo que hace que la eficacia de las campañas sea cada vez mayor. Es probable que el phishing centrado en temas de actualidad y con mensajes cada vez más perfectos siga creciendo durante este año.
El COVID-19 va a seguir siendo el tema estrella del phishing a corto plazo. Los ciberdelincuentes van a seguir aprovechándose del miedo y de la ansiedad de las personas. Seguramente veremos campañas que ofrezcan el envío de vacunas a domicilio y pidan para ello datos personales y financieros del usuario.
6.- Amenazas/Ciberdelincuencia como servicio
Los delitos informáticos están adoptando un modelo de negocio as-a-service, algo que va a crecer en 2021. La modalidad Obfuscation-as-a-service e, incluso, APT-as-a-service transformarán el panorama de amenazas, introduciendo sofisticación para lograr eludir las defensas de seguridad tradicionales y llevar a cabo ataques altamente avanzados, todos ofrecidos al mejor postor. Las organizaciones tendrán que actualizar sus conocimientos y defensas para poder identificar tácticas y técnicas asociadas hasta la fecha con actores de amenazas muy sofisticados, ya que la pila de seguridad actual, especialmente en las pymes, no está muy bien equipada para controlar a los mercenarios de APT.
7.- Nubes con contenedores vulnerables, software vulnerable
Existen dos ataques que están ganando terreno muy rápidamente y en silencio. Uno es el malware dirigido a microcontenedores mal configurados o expuestos inadvertidamente. Se espera que aumenten los contenedores comprometidos que ahora se utilizan para casi todo, como la minería de criptomonedas.
También van a crecer los ataques que aprovechan la descarga lateral de archivos DLL (DLL hijacking) en las aplicaciones más populares . El flujo de ejecución del secuestro permite a los atacantes ejecutar código malicioso en el contexto de un proceso confiable y superar los firewalls y whitelists, así como cualquier otro software de seguridad empresarial. Principalmente presente en ataques dirigidos, esperamos que esta técnica se convierta en un estándar del malware comercial durante este año.