Trend Micro bloqueó 160.000 millones de ciberamenazas en 2023

Trend Micro, líder global en ciberseguridad, ha revelado un aumento anual del 10 por ciento en el total de amenazas bloqueadas en 2023 y ha advertido de que los atacantes utilizan métodos más avanzados para apuntar a menos víctimas con el potencial de obtener mayores beneficios económicos.

Jon Clay, vicepresidente de inteligencia de amenazas de Trend: "Estamos bloqueando más amenazas que nunca para nuestros clientes, pero entendemos que los adversarios mostraron una variedad y sofisticación de TTPs en sus ataques, especialmente en la evasión de la defensa. Como demuestra nuestro informe, los defensores de la red deben seguir gestionando proactivamente el riesgo en toda la superficie de ataque actual. Comprender las estrategias preferidas por nuestros adversarios es la base de una defensa eficaz".

Trend Micro bloqueó 161.000 millones de amenazas en general en 2023, en comparación con los 82.000 millones de amenazas de hace cinco años. En 2023, las amenazas bloqueadas por correo electrónico y reputación web  disminuyeron anualmente un 47% y un 2%, respectivamente. También disminuyeron las amenazas bloqueadas por el Servicio de Reputación de Aplicaciones Móviles de Trend (-2%), la Red Doméstica Inteligente (-12%) y el Servicio de Reputación de Internet de las Cosas (-64%). Sin embargo, se produjo un aumento anual del 35% en las amenazas bloqueadas por el Servicio de Reputación de Archivos (FRS) de Trend.

Esto podría indicar que los autores de las amenazas están eligiendo sus objetivos con más cuidado. En lugar de lanzar ataques a un mayor número de usuarios y confiar en que las víctimas puedan hacer clic en enlaces maliciosos de sitios web y correos electrónicos, se dirigen a un número más reducido de víctimas de alto perfil con ataques más sofisticados. Esto podría permitirles eludir las primeras capas de detección, como los filtros de red y de correo electrónico, lo que explicaría el aumento de las detecciones de archivos maliciosos en los endpoints.

Otras tendencias observadas en el informe son:

•    Los actores de APT mostraron una gran variedad y sofisticación en sus ataques contra las víctimas, especialmente en torno a tácticas de evasión de la defensa.

•    La detección de malware en el correo electrónico aumentó un 349% interanual, mientras que las detecciones de URL maliciosas y de phishing disminuyeron un 27% interanual, lo que pone de manifiesto una vez más la tendencia a utilizar más archivos adjuntos maliciosos en sus ataques.

•    Las detecciones de correos electrónicos de negocio comprometidos (BEC) aumentaron un 16% interanual.

•    Las detecciones de ransomware descendieron un 14% interanual. Sin embargo, una vez más, el aumento de las detecciones de FRS puede indicar que los actores de amenazas están mejorando en la evasión de la detección primaria a través de técnicas como Living-Off-The-Land Binaries and Scripts (LOLBINs/LOLBAs), Bring Your Own Vulnerable Driver (BYOVD), exploits de día cero, y terminación AV.

•    Los ataques de ransomware contra Linux y MacOS representaron el 8 % del total de ransomware detectado.

•    Aumentaron el cifrado remoto, el cifrado intermitente, la evasión de EDR mediante máquinas virtuales (VM) no supervisadas y los ataques multiransomware, que afectaron a las víctimas más de una vez. Los agresores han reconocido que el EDR es una defensa formidable, pero ahora utilizan tácticas de evasión para eludir esta tecnología.

•    Tailandia y Estados Unidos fueron los dos países con más víctimas de ransomware, siendo la banca el sector más afectado.

•    Las principales detecciones de MITRE ATT&CK fueron evasión de la defensa, comando y control, acceso inicial, persistencia e impacto.

•    El acceso arriesgado a aplicaciones en la nube fue el principal evento de riesgo detectado por la gestión de riesgos de la superficie de ataque (ASRM) de Trend, registrado casi 83.000 millones de veces.

•    Zero Day Initiative de Trend descubrió y divulgó de forma responsable 1914 días cero, un 12% más que el año anterior. Entre ellos se incluyen 111 errores de Adobe Acrobat y Reader. Adobe fue el proveedor número uno en notificación de vulnerabilidades, y los PDF fueron el tipo de archivo adjunto de spam número uno.

•    Las aplicaciones de Windows fueron las 3 principales vulnerabilidades explotadas a través de detecciones de nuestros parches virtuales.

•    Mimikatz (utilizado en la recopilación de datos) y Cobalt Strike (utilizado en Comando y Control) siguieron siendo las herramientas legítimas preferidas para abusar de ellas como ayuda a la actividad delictiva.

A la luz de estos hallazgos, Trend aconseja a los defensores de red:

•    Trabajar con proveedores de seguridad de confianza con un enfoque de plataforma de ciberseguridad para garantizar que los recursos no solo estén protegidos, sino también supervisados continuamente en busca de nuevas vulnerabilidades.

•    Dar prioridad a la eficiencia del SOC monitorizando cuidadosamente las aplicaciones en la nube a medida que se integran de forma más estrecha en las operaciones diarias.

•    Asegurarse de que se aplican los últimos parches/actualizaciones a los sistemas operativos y las aplicaciones.

•    Utilizar protocolos de seguridad exhaustivos para protegerse contra las vulnerabilidades, reforzar los ajustes de configuración, controlar el acceso a las aplicaciones y mejorar la seguridad de las cuentas y los dispositivos. Intentar detectar los ataques de ransomware en una fase más temprana del ciclo de vida del ataque desplazando a la izquierda las defensas durante las fases de acceso inicial, movimiento lateral o exfiltración de datos.