De acuerdo con el Índice Global de Amenazas de los expertos de FortiGuard. Las variantes de ransomware casi se duplican en seis meses.Los cibercriminales utilizan estrategias de ejecución agresivas, como la extorsión o el borrado de datos, y se centran en tácticas de reconocimiento previas al ataque para garantizar un mayor rendimiento de la inversión en amenazas. El trabajo desde cualquier lugar impulsa la tendencia a que los exploits se dirijan al dispositivo final o endpoint.
Fortinet® (NASDAQ: FTNT), líder mundial en soluciones de ciberseguridad integradas y automatizadas, ha publicado el último Índice Global de Amenazas elaborado por sus expertos en inteligencia de amenazas, los laboratorios FortiGuard. Entre los aspectos más destacados del informe, correspondiente a la actividad cibercriminal durante el primer semestre de 2022, destacan:
- La amenaza del ransomware sigue adaptándose a las circunstancias y se detectan más variantes habilitadas por el modelo de ransomware como servicio (RaaS).
- Los dispositivos utilizados para trabajar desde cualquier lugar siguen siendo objetivos para que los ciberadversarios accedan a las redes corporativas. Los entornos de tecnología operativa (OT) y de tecnología de la información (IT) son objetivos atractivos para los ciberadversarios que buscan oportunidades en la creciente superficie de ataque y en la convergencia IT/OT.
- Las amenazas destructivas siguen evolucionando, como demuestra la propagación del malware wiper como parte de los conjuntos de herramientas que utilizan los cibercriminales.
- Los ciberadversarios están adoptando más técnicas de reconocimiento y evasión de la defensa para aumentar la precisión y el armamento destructivo en toda la cadena de ciberataques.
De acuerdo con Derek Manky, Chief Security Strategist & VP Global Threat Intelligence en FortiGuard Labs “Los cibercriminales están avanzando en sus playbooks para frustrar la defensa y ampliar sus redes de afiliados criminales. Utilizan estrategias de ejecución agresivas, como la extorsión o el borrado de datos, y se centran en tácticas de reconocimiento previas al ataque para garantizar un mayor rendimiento de la inversión en amenazas. Para combatir los ataques avanzados y sofisticados, las organizaciones necesitan soluciones de seguridad integradas que puedan ingerir inteligencia sobre amenazas en tiempo real, detectar patrones de amenazas y correlacionar cantidades masivas de datos para detectar anomalías e iniciar automáticamente una respuesta coordinada en todas las redes híbridas.»
El crecimiento de las variantes de ransomware muestra la evolución de los ecosistemas delictivos
El ransomware sigue siendo una de las principales amenazas y los ciber adversarios continúan invirtiendo importantes recursos en nuevas técnicas de ataque. En los últimos seis meses, FortiGuard Labs ha registrado un total de 10.666 variantes de ransomware, en comparación con sólo 5.400 en el semestre anterior. Esto supone un crecimiento de casi el 100% de las variantes de ransomware en un semestre. RaaS, con su popularidad en la web oscura, sigue alimentando una industria de delincuentes que obliga a las organizaciones a considerar el pago del ransomware. Para protegerse contra el mismo, las organizaciones, independientemente de su sector o tamaño, necesitan un enfoque proactivo. La visibilidad, la protección y la corrección en tiempo real, junto con el acceso a la red de confianza cero (ZTNA) y la detección y respuesta avanzada del endpoint (EDR) son fundamentales.
Las tendencias de los exploits muestran que los entornos OT y el Endpoint siguen siendo objetivos irresistibles
La convergencia digital de TI y OT y los endpoints que permiten trabajar desde cualquier lugar siguen siendo vectores clave de ataque, ya que los criminales continúan apuntando a una superficie de ataque en expansión. Muchos exploits para vulnerabilidades en el endpoint involucran a usuarios no autorizados que acceden a un sistema con el objetivo de realizar un movimiento lateral para adentrarse en las redes corporativas. Por ejemplo, se registró un volumen elevado de una vulnerabilidad de suplantación de identidad (CVE 2022-26925), así como de una vulnerabilidad de ejecución remota de código (RCE) (CVE 2022-26937). Asimismo, el análisis de las vulnerabilidades de los endpoints por volumen y detecciones revela el incesante camino de los ciberadversarios que intentan obtener acceso aprovechando al máximo tanto las vulnerabilidades antiguas como las nuevas.
Además, las tecnologías operativas no se libran de malware, tal y como demuestran los análisis específicos de vulnerabilidades en estos entornos. Una amplia gama de dispositivos y plataformas experimentaron exploits in-the-wild, demostrando la realidad de la ciberseguridad ante la creciente convergencia de TI y OT y los objetivos disruptivos de los adversarios. La tecnología avanzada de endpoints puede ayudar a mitigar y remediar eficazmente los dispositivos infectados en una fase temprana de un ataque. Además, los servicios como el servicio de protección contra riesgos digitales (DRPS) pueden utilizarse para realizar evaluaciones de amenazas superficiales externas, encontrar y remediar problemas de seguridad y ayudar a obtener información contextual sobre amenazas actuales e inminentes.
Las tendencias de las amenazas destructivas continúan con la ampliación de los borrados de disco – Wipers
Las tendencias del malware de borrado de disco revelan una inquietante evolución de las técnicas de ataque más destructivas y sofisticadas que destruyen los datos borrándolos. La guerra en Ucrania impulsó un aumento sustancial del malware de borrado de disco entre los cibercriminales, dirigiéndose principalmente a las infraestructuras críticas. FortiGuard Labs identificó al menos siete nuevas variantes importantes de wiper en los primeros seis meses de 2022 que se utilizaron en diversas campañas contra organizaciones gubernamentales, militares y privadas. Este número es significativo porque se acerca al número de variantes de wiper que se han detectado públicamente desde 2012. Además, los wipers no se circunscribían a una sola ubicación geográfica, sino que se detectaron en 24 países, además de Ucrania. Para minimizar el impacto de los ataques tipo wiper, la detección y respuesta a la red (NDR) con inteligencia artificial (AI) para el autoaprendizaje es útil para detectar mejor las intrusiones; no olvidando también la importante recomendación de almacenar las copias de seguridad fuera de las instalaciones y sin conexión.
La evasión de la defensa sigue siendo la principal táctica de ataque a nivel mundial
El análisis de las estrategias de los cibercriminales revela aspectos sobre la evolución de las técnicas y tácticas de ataque. FortiGuard Labs examinó el funcionamiento del malware detectado para seguir la pista a los enfoques más utilizados durante los últimos seis meses. Entre las ocho principales tácticas y técnicas enfocadas al endpoint, la evasión de la defensa fue la táctica más empleada por los desarrolladores de malware. Para ello suelen utilizar la ejecución de proxies. Ocultar las intenciones maliciosas es una de las tareas más importantes para estos cibercriminales. Por lo tanto, intentan evadir las defensas enmascarándolas y tratando de ocultar los comandos mediante un certificado legítimo para ejecutar un proceso de confianza y llevar a cabo la acción maliciosa. Además, la segunda técnica más popular fue la inyección de procesos, en la que los delincuentes trabajan para inyectar código en el espacio de direcciones de otro proceso para evadir las defensas y ser más sigilosos. Las organizaciones estarán mejor posicionadas para protegerse contra los conjuntos de herramientas de los adversarios armados con esta inteligencia procesable. Las plataformas de ciberseguridad integradas e impulsadas por IA y ML con capacidades avanzadas de detección y respuesta impulsadas por la inteligencia procesable sobre amenazas son importantes para proteger todos los perímetros de las redes híbridas.
Seguridad impulsada por la IA en toda la superficie de ataque
Cuando las organizaciones adquieren un conocimiento más profundo de los objetivos y las tácticas utilizadas por los adversarios a través de la inteligencia de amenazas procesable, pueden alinear mejor las defensas para adaptarse y reaccionar a las técnicas de ataque que cambian rápidamente de forma proactiva. La información sobre las amenazas es fundamental para ayudar a priorizar las estrategias de parcheo para proteger mejor los entornos. La concienciación y la formación en materia de ciberseguridad también son importantes a medida que cambia el panorama de las amenazas para mantener actualizados a los empleados y a los equipos de seguridad. Las organizaciones necesitan operaciones de seguridad que puedan funcionar a la velocidad de la máquina para mantenerse al día con el volumen, la sofisticación y el ritmo de las ciberamenazas actuales. Las estrategias de prevención, detección y respuesta impulsadas por IA y ML y basadas en una arquitectura de malla de ciberseguridad permiten una integración mucho más estrecha, una mayor automatización, así como una respuesta más rápida, coordinada y eficaz a las amenazas en toda la red extendida.
Metodología del Índice Global de Amenazas
El último informe “Fortinet Global Threat Landscape” analiza la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de Fortinet diseminados por todo el mundo durante el primer semestre de 2022. De manera similar como el marco ATT&CK de MITRE clasifica las tácticas, técnicas y procedimientos de los adversarios, con las tres primeras agrupaciones que abarcan el reconocimiento, el desarrollo de recursos y el acceso inicial, el Índice Global de Amenazas de FortiGuard Labs aprovecha este modelo para describir cómo los actores de las amenazas encuentran vulnerabilidades, construyen infraestructuras maliciosas y explotan sus objetivos. El informe también proporciona perspectivas globales y regionales, así como tendencias que afectan a entornos TI y OT.
. Leer artículo completo en Frikipandi Las variantes de ransomware casi se duplican en seis meses.