El ransomware y los compromisos de correo electrónico empresarial (BEC) encabezaron la lista de los tipos de ataques a organizaciones en el último año, lo que representa el 70 % del número total, según el Informe de respuesta a incidentes de la Unidad 42 de 2022 de la Unidad 42 de Palo Alto Networks, un consultoría de ciberseguridad dentro de la empresa. La empresa compiló los hallazgos de su informe basándose en aproximadamente 600 respuestas a incidentes completadas por la Unidad 42 entre mayo de 2021 y abril de 2022.
Aquí hay un desglose rápido de los hallazgos clave:
- Se sospecha que el 77% de las intrusiones son causadas por tres vectores de acceso inicial: phishing, explotación de vulnerabilidades de software conocidas y ataques de credenciales de fuerza bruta centrados principalmente en el protocolo de escritorio remoto.
- El informe también encontró que más del 87 % de las vulnerabilidades identificadas positivamente caían en una de las seis categorías principales: las fallas de ProxyShell y ProxyLogon en Exchange Server, la falla de Apache Log4j y las vulnerabilidades en Zoho ManageEngine ADSelfService Plus, Fortinet y SonicWall.
- La mitad de las organizaciones comprometidas carecían de autenticación multifactor en sistemas clave orientados a Internet, como el correo web corporativo, la red privada virtual (VPN) y otras soluciones de acceso remoto.
- Las siete industrias más seleccionadas fueron las finanzas, los servicios profesionales y legales, la manufactura, la atención médica, la alta tecnología y la venta al por mayor y al por menor. Estos representaron más del 60% de los casos, según la Unidad 42.
Unit 42 dijo que los atacantes pueden centrarse en ciertas industrias, como las finanzas y la atención médica, porque almacenan, transmiten y procesan grandes volúmenes de información confidencial monetizable, o simplemente porque hacen un uso generalizado de cierto software con vulnerabilidades conocidas.
Amenazas internas
No siempre se trata del dinero, según el informe. Los rencores también importan. Las amenazas internas representaron solo el 5,4% de los incidentes que manejó la Unidad 42, “pero pueden ser importantes porque involucran a un actor malicioso que sabe exactamente dónde buscar para encontrar datos confidenciales”, dice el informe. Además, el 75% de los casos de amenazas internas involucraron a un ex empleado descontento que se fue con los datos de la empresa, destruyó los datos de la empresa o accedió a las redes de la empresa después de su partida.
Esto podría exacerbarse durante una recesión, a medida que aumentan los despidos y las frustraciones. Los investigadores predicen que las condiciones económicas en declive podrían empujar a más personas al delito cibernético como una forma de llegar a fin de mes.
“En este momento, el cibercrimen es un negocio en el que es fácil entrar debido a su bajo costo y, a menudo, a sus altos rendimientos”, dijo Wendi Whitmore, vicepresidenta sénior y directora de la Unidad 42 de Palo Alto Networks, en un comunicado. “Como tal, los actores de amenazas novatos y no calificados pueden comenzar con el acceso a herramientas como la piratería como servicio que se vuelve más popular y está disponible en la web oscura”.
Secuestro de datos
El ransomware puede apuntar a organizaciones confidenciales, como hospitales, y puede ejercer aún más presión sobre las organizaciones con amenazas de divulgar información confidencial si no se paga el rescate. Además, Unit 42 ha estado rastreando al menos 56 grupos activos de “ransomware como servicio” que operan desde 2020.
“RaaS es un negocio para delincuentes, por delincuentes, con acuerdos que establecen los términos para proporcionar ransomware a los afiliados, a menudo a cambio de tarifas mensuales o un porcentaje de los rescates pagados”, dice el informe. “RaaS facilita mucho la realización de ataques, reduce la barrera de entrada para los posibles actores de amenazas y amplía el alcance del ransomware”.
Unit 42 informó que las demandas de ransomware alcanzaron los 30 millones de dólares durante el último año, y algunos clientes pagaron rescates de más de 8 millones de dólares. La Unidad 42 señaló que los actores de amenazas intentan acceder a la información financiera cuando tienen acceso no autorizado a una organización víctima y calculan las demandas de rescate en función de los ingresos percibidos de la organización extorsionada.
¿Qué hay por delante?
La Unidad 42 pidió a sus respondedores de incidentes que miraran hacia las amenazas cibernéticas en el horizonte y proporcionaran algunas predicciones. Estas son algunas de las predicciones que compartieron:
- La ventana de tiempo para parchear vulnerabilidades de alto perfil antes de la explotación seguirá reduciéndose.
- Los marcos de ataque de disponibilidad generalizados y las plataformas basadas en piratería como servicio seguirán aumentando la cantidad de actores de amenazas no calificados.
- La reducción del anonimato y el aumento de la inestabilidad con la criptomoneda podrían conducir a un aumento en el compromiso del correo electrónico comercial o el compromiso del sitio web relacionado con la tarjeta de pago.
- Las condiciones económicas en declive podrían empujar a más personas al delito cibernético como una forma de llegar a fin de mes.
- El hacktivismo y los ataques con motivaciones políticas aumentarán a medida que los grupos continúen perfeccionando su capacidad para aprovechar las redes sociales y otras plataformas para organizar y dirigirse a organizaciones del sector público y privado.
El informe completo de la Unidad 42 está disponible aquí.
Qué leer a continuación:
CISO en la era de la convergencia: protección de las redes de OT y TI
Estudio rápido: resiliencia cibernética y riesgo
El estado de ITOps y SecOps: una mirada interna