Prepárese, 2022 promete traer confrontaciones cibernéticas ampliadas a medida que los ataques de ransomware ganan terreno.
Un aumento peligroso en los ataques de ransomware el año pasado causó compromisos devastadores para las organizaciones gubernamentales, la infraestructura crítica y las empresas. Gran parte del aumento se debió a que los ciberdelincuentes se volvieron cada vez más innovadores y audaces en su enfoque.
Un informe de Positive Technologies a fines del mes pasado encontró que los ciberdelincuentes pueden penetrar el 93 por ciento de las redes de las empresas locales y desencadenar el 71 por ciento de los eventos considerados «inaceptables» para sus negocios.
Los ciberdelincuentes tardan una media de dos días en penetrar en la red interna de una empresa. Los investigadores descubrieron que todas las empresas analizadas eran susceptibles de que un intruso obtuviera el control total de la infraestructura una vez dentro de la red.
Resultados positivos estudiados de pruebas que involucran a organizaciones financieras (29 por ciento), organizaciones de combustible y energía (18 por ciento), gubernamentales (16 por ciento), industriales (16 por ciento), empresas de TI (13 por ciento) y otros sectores.
El 18 de enero, Bugcrowd publicó su informe Priority One anual que reveló un aumento del 185 por ciento en las vulnerabilidades de alto riesgo dentro del sector financiero. También reveló el aumento del ransomware y la reinvención de las cadenas de suministro que conducen a superficies de ataque más complejas durante la pandemia.
Tabla de Contenidos
Ransomware fuera de control
El ransomware superó las violaciones de datos personales como la amenaza que dominó las noticias de seguridad cibernética en todo el mundo a fines de 2021. Los bloqueos globales y el trabajo remoto provocaron una prisa por poner más activos en línea, lo que condujo a un aumento de las vulnerabilidades.
Estos informes muestran que todas las empresas y organizaciones ahora son más susceptibles a la piratería y deben duplicar la ciberdefensa a largo plazo. Los objetivos también involucran a los consumidores individuales.
El ransomware es una gran preocupación para todos. Los atacantes pueden perturbar nuestra vida diaria, ya sea que vayan tras hospitales, gasoductos, escuelas u otros negocios, advirtió Theresa Payton, exdirectora de información de la Casa Blanca y actual directora ejecutiva de la consultora de seguridad cibernética Fortalice Solutions.
“Los sindicatos de ransomware no tienen límites y también atacan nuestros sistemas y dispositivos personales”, dijo a TechNewsWorld.
Otro caso en cuestión
Los piratas informáticos están comprando espacio de los principales proveedores de la nube para distribuir malware Nanocore, Netwire y AsyncRAT, según un blog de Cisco Talos del 12 de enero.
El actor de amenazas, en este caso, usó servicios en la nube para implementar y entregar variantes de amenazas de acceso remoto (RAT) de productos básicos. Esos despliegues contenían capacidad de robo de información a partir del 26 de octubre de 2021.
Estas variantes están repletas de múltiples funciones para tomar el control del entorno de la víctima para ejecutar comandos arbitrarios de forma remota y robar la información de la víctima, según Cisco Talos. El vector de infección inicial es un correo electrónico de phishing con un archivo adjunto ZIP malicioso.
Estos archivos ZIP contienen una imagen ISO con un cargador malicioso en forma de JavaScript, un archivo por lotes de Windows o un script de Visual Basic. Cuando el script inicial se ejecuta en la máquina de la víctima, se conecta a un servidor de descarga para descargar la siguiente etapa, que se puede alojar en un servidor de Windows basado en Azure Cloud o en una instancia de AWS EC2.
Para entregar la carga de malware, el actor registró varios subdominios maliciosos usando DuckDNS, un servicio de DNS dinámico gratuito.
Los investigadores se convirtieron en piratas informáticos
Durante la evaluación de la protección contra ataques externos, los expertos de Positive Technologies violaron el perímetro de la red en el 93 por ciento de los casos. Esta cifra se ha mantenido alta durante muchos años, lo que confirma que los delincuentes pueden violar casi cualquier infraestructura corporativa, según los investigadores de la empresa.
“En el 20 por ciento de nuestros proyectos de pentesting (pruebas de penetración), los clientes nos pidieron que verificáramos qué eventos inaceptables podrían ser factibles como resultado de un ataque cibernético. Estas organizaciones identificaron un promedio de seis eventos inaceptables cada una, y nuestros pentesters se dispusieron a desencadenarlos”, dijo a TechNewsWorld Ekaterina Kilyusheva, jefa de investigación y análisis de Positive Technologies.
Según los clientes de Positive, los eventos que involucran la interrupción de los procesos tecnológicos y la prestación de servicios, además del robo de fondos e información importante, representan el mayor peligro, dijo. En total, los pentesters de Positive Technologies confirmaron la viabilidad del 71 por ciento de estos eventos inaceptables.
“Nuestros investigadores también descubrieron que un delincuente no necesitaría más de un mes para realizar un ataque que provocaría un evento inaceptable. Y los ataques a algunos sistemas pueden desarrollarse en cuestión de días”, agregó Kilyusheva.
El camino de un atacante desde las redes externas hasta los sistemas de destino comienza con la violación del perímetro de la red. Se necesitan dos días para penetrar en la red interna de una empresa.
El compromiso de credenciales es la principal forma en que los delincuentes pueden penetrar en una red corporativa para la mayoría de las empresas. Ese alto número se debe principalmente a que se usan contraseñas simples, incluso para las cuentas que se usan para la administración del sistema, según el informe de Positive.
En cuanto a los ataques de seguridad a las organizaciones financieras, se consideran entre las empresas más protegidas, como parte de la verificación de eventos inaceptables en cada uno de los bancos Testeados Positivamente, señaló Kilyusheva.
“Nuestros especialistas lograron realizar acciones que podrían permitir a los delincuentes interrumpir los procesos comerciales del banco y afectar la calidad de los servicios prestados. Por ejemplo, obtuvieron acceso a un sistema de gestión de cajeros automáticos, lo que podría permitir a los atacantes robar fondos”, explicó.
Tendencias clave en ciberseguridad
El informe Priority One de Bugcrowd destacó las tendencias clave de ciberseguridad del año pasado. Estos incluyen el aumento en la adopción de seguridad colaborativa debido al cambio global hacia modelos de trabajo híbridos y remotos y la rápida transformación digital asociada con esto.
El informe revela que el enfoque estratégico para muchas organizaciones en todas las industrias ha cambiado, con el énfasis ahora en liquidar la deuda de seguridad residual asociada con esa transformación.
Hasta ahora, maniobras muy avanzadas y operaciones clandestinas definían estrategias de ataque. Pero este enfoque comenzó a cambiar el año pasado hacia tácticas más comunes, como ataques a vulnerabilidades conocidas.
Las normas diplomáticas en torno a la piratería se han debilitado hasta el punto en que los atacantes del estado-nación ahora están menos preocupados por ser sigilosos que en el pasado, según Bugcrowd.
Los aspectos más destacados del Informe Priority One de 2022 incluyen:
- Las secuencias de comandos entre sitios fueron el tipo de vulnerabilidad más comúnmente identificado
- La exposición de datos confidenciales subió a la tercera posición desde la novena en la lista de los 10 tipos de vulnerabilidad más comúnmente identificados
- El ransomware se generalizó y los gobiernos respondieron
- Las cadenas de suministro se convirtieron en una superficie de ataque principal
- Las pruebas de penetración entraron en un renacimiento
Según Casey Ellis, fundador y director de tecnología de Bugcrowd, una economía de ransomware emergente y un continuo desdibujamiento de las líneas entre los actores estatales y las organizaciones de delitos electrónicos están cambiando el panorama de las ciberamenazas.
“Todo lo cual, combinado con superficies de ataque crecientes y más lucrativas, ha creado un entorno altamente combustible. En 2022, esperamos más de lo mismo”, pronosticó.
¿Pagar o no pagar?
Los expertos cibernéticos y algunos gobiernos solían predicar no pagar un rescate. Esta sigue siendo una estrategia válida, aunque no todos los funcionarios gubernamentales y expertos cibernéticos están de acuerdo.
No pagar el rescate debería ser un objetivo global para desincentivar a los sindicatos del ciberdelito. Mientras nuestro equipo de Fortalice Solutions responde a incidentes, hemos visto que las víctimas con frecuencia no quieren pagar el rescate, señaló Payton. Aún así, sus compañías de seguros de responsabilidad cibernética pueden considerar que es más barato pagar a los extorsionadores que pagar un esfuerzo de recuperación. Eso es problemático.
“Si alguien tiene que pagar, yo no juzgo a la organización víctima ni avergüenzo a la víctima porque eso no soluciona el problema. Pero al considerar el pago, las víctimas deben saber que los pagos, que promediaron $ 170,000 (según la investigación de Sophos) no aseguran la recuperación completa de los datos”, dijo Payton.
Sophos también descubrió que el 29 por ciento de las empresas afectadas no pudieron recuperar ni la mitad de sus datos cifrados, y solo el ocho por ciento logró la recuperación completa de los datos.
Históricamente, el ransomware se ha dirigido a organizaciones con datos de misión crítica sobre individuos. Pero, si alguna vez perdió datos debido a una falla en el disco duro antiguo, sintió el dolor de un ataque de ransomware, según Lisa Frankovitch, directora ejecutiva de la empresa de administración de redes Uplogix.
Es mucho mejor emplear las mejores prácticas de seguridad, como la autenticación de dos factores, los administradores de contraseñas y el cifrado, que tener que determinar si debe pagar el rescate o no, aconsejó.
Impacto en los usuarios finales
La mayor amenaza que representan los ataques cibernéticos tanto para las empresas como para los consumidores es el tiempo de inactividad, señaló Frankovitch. Ya sea que se haya violado su red o que le hayan robado su identidad personal, la interrupción y el tiempo de inactividad pueden ser catastróficos.
«Gartner estima que el costo promedio de una interrupción de la red supera los $ 300,000 por hora», dijo a TechNewsWorld.
Con respecto a la seguridad de las redes empresariales, la Agencia de Seguridad Nacional de EE. UU. (NSA) publicó pautas sobre el uso de la gestión fuera de banda para crear un marco que mejore la seguridad de la red al segmentar el tráfico de gestión del tráfico operativo.
Al garantizar que el tráfico de administración solo provenga de la ruta de comunicaciones fuera de banda, se evita que los dispositivos de usuario comprometidos o el tráfico de red malicioso afecten las operaciones de la red y comprometan la infraestructura de la red, explicó Frankovitch.