Fortinet ha publicado su último Informe Global de Amenazas, que revela que los ciberdelincuentes están desarrollando métodos de ataque para aumentar sus índices de éxito y acelerar las infecciones. Mientras que el ransomware continúa afectando a las organizaciones de manera destructiva, hay indicios de que algunos ciberdelincuentes prefieren secuestrar sistemas y usarlos para minar criptomonedas, en lugar de bloquear el acceso al usuario hasta obtener un rescate.
Phil Quade, director de seguridad de la información de Fortinet, asegura que “nos enfrentamos a una preocupante convergencia de tendencias en el panorama de la ciberseguridad. Los cibercriminales están demostrando su eficacia y agilidad para explotar la superficie de ataque digital, que se encuentra en continua expansión, aprovechando las amenazas de día cero conocidas y maximizando el acceso del malware a las redes. Además, los equipos de IT y OT a menudo no cuentan con los recursos necesarios para mantener los sistemas debidamente reforzados o protegidos. Afortunadamente, implementando una aproximación de seguridad que prioriza velocidad, integración, análisis avanzado y toma de decisiones basada en el riesgo, las organizaciones pueden habilitar una protección integral a gran velocidad y gran escala”.
El cibercrimen es cada vez más rápido y escalable
Los datos confirman que los ciberdelincuentes son cada vez más hábiles y sofisticados a la hora de usar el malware y aprovechan las vulnerabilidades de día cero para atacar a gran velocidad y escala. Mientras que el número de detecciones de exploits por empresa ha caído un 13% en el primer trimestre de 2018, el número de detecciones únicas de exploits se ha incrementado en un 11%. Por otro lado, un 73% de las empresas han experimentado una explotación de carácter severo.
• Repunte del cryptojacking: El malware está evolucionando y cada vez es más difícil de prevenir y detectar. La prevalencia del malware de criptominado se duplica trimestre tras trimestre, pasando del 13% al 28%. Además, el criptojacking sigue estando muy presente en el Medio Oriente, América Latina y África. El malware de criptominado también muestra una diversidad increíble para una amenaza relativamente nueva. Los ciberdelincuentes están creando malware sigiloso, que no utiliza archivos y que inyecta el código infectado directamente en los navegadores. Los mineros se dirigen a múltiples sistemas operativos, así como a diferentes criptomonedas como bitcoin y monero. También están ajustando y adoptando técnicas de infección y propagación de otras amenazas basándose en lo que fue o no exitoso para estas con el fin de mejorar las tasas de éxito en el futuro.
• Ataques dirigidos para maximizar el impacto: El impacto del malware destructivo sigue siendo alto, especialmente porque los ciberdelincuentes lo combinan con ataques a medida. Para este tipo de ataques más dirigidos, los delincuentes obtienen información relevante de una organización antes de lanzar el ataque, lo que les permite aumentar las tasas de éxito. Después, una vez que se infiltran en la red, se mueven lateralmente antes de desencadenar la parte más destructiva de su plan de ataque. El malware Olympic Destroyer y el más reciente, el ransomware SamSam, son ejemplos de este tipo; los ciberdelincuentes combinaron un ataque a medida con una carga destructiva para lograr el máximo impacto.
• El ransomware disruptivo: El crecimiento tanto del volumen como de la sofisticación del ransomware sigue siendo un desafío de seguridad significativo para las organizaciones. El ransomware continúa evolucionando, aprovechando los nuevos canales de entrega, como la ingeniería social y las nuevas técnicas, así como los ataques en varias etapas para evadir la detección e infectar sistemas. GandCrab ransomware surgió en enero con la distinción de ser el primer ransomware que requiere criptomoneda dash como forma de pago. Black Rubby y SamSam fueron otras dos variantes de ransomware que surgieron como amenazas principales durante el primer trimestre de 2018.
• Múltiples vectores de ataque: Aunque los ataques de canal lateral conocidos como Meltdown y Spectre, dominaron los titulares de las noticias durante el primer trimestre, algunos de los principales ataques se dirigieron a dispositivos móviles o exploits conocidos de routers, web o tecnologías de internet. El 21% de las organizaciones notificaron malware móvil, con un aumento del 7%, lo que demuestra que los dispositivos IoT siguen siendo el objetivo. Los ciberdelincuentes también siguen reconociendo el valor de explotar las vulnerabilidades conocidas que no se han corregido, así como las de tipo día cero descubiertas recientemente para aumentar las oportunidades. Microsoft ha seguido siendo el objetivo número uno para los exploits, y los routers ocuparon el lugar número dos en volumen total de ataques. Los Sistemas de Gestión de Contenidos (CMS) y las tecnologías orientadas a la web también fueron objetivos prioritarios.
• Ciberhigiene: Más allá del parcheado: Medir cuanto tiempo persisten las infecciones por botnet en función de la cantidad de días consecutivos en que se detectan las comunicaciones continuas revela que la higiene implica algo más que un parche. También se trata de una limpieza. Los datos muestran que el 58,5% de las infecciones de botnet son detectadas y limpiadas el mismo día, el 17,6% de las botnets persisten durante dos días seguidos, el 7,3% duran tres días y un 5% persiste durante más de una semana. Por ejemplo, la red de bots de Andrómeda se eliminó en el cuarto trimestre de 2017, pero los datos del primer cuatrimestre lo colocaban en un lugar destacado, tanto en volumen como en prevalencia.
• Ataques contra las Tecnologías Operacionales: Si bien los ataques de OT suponen un porcentaje menor dentro del panorama general, las tendencias son preocupantes. Este sector se está conectando cada vez más a internet, con serias ramificaciones potenciales para la seguridad. En la actualidad, la gran mayoría de las actividades de explotación se dirigen contra los dos protocolos de comunicación industrial más comunes, ya que están ampliamente desplegados y, por lo tanto, son el principal objetivo. Los datos muestran que en Asia los intentos de explotación de Sistemas de control Industrial (ICS) parecen ser algo más frecuentes cuando se compara la prevalencia de la actividad de explotación de ICS en otras regiones.