Aumenta el ransomware en el segundo trimestre de 2024
Las principales amenazas observadas por Cisco Talos Incident Response (Talos IR) en el segundo trimestre de 2024 fueron el correo electrónico comercial comprometido (BEC) y el ransomware, que juntos representaron el 60% de los casos.
Aunque el número de ataques BEC disminuyó con respecto al trimestre anterior, siguió siendo una amenaza importante por segundo trimestre consecutivo. Hubo un ligero aumento en el ransomware, donde Talos IR respondió al ransomware Mallox y Underground Team por primera vez este trimestre, así como a las operaciones de ransomware Black Basta y BlackSuit vistas anteriormente.
Por tercer trimestre consecutivo, el medio más utilizado para obtener acceso inicial fue el uso de credenciales comprometidas en cuentas válidas, lo que supuso el 60% de los ataques de este trimestre, un 25% más que en el trimestre anterior.
El sector tecnológico fue el más afectado este trimestre, con un 24% de los casos, seguido de cerca por el sanitario, el cuidado de la salud y el minorista.
En comparación con el trimestre anterior, se ha producido un aumento del 30% en los ataques que afectan al sector tecnológico. Las organizaciones de dicho sector pueden ser vistas como puertas de entrada a otras industrias y organizaciones, dado su importante papel en el suministro y servicio a una amplia gama de sectores, lo que las convierte en objetivos atractivos para los adversarios.
Las organizaciones tecnológicas a menudo cuentan con amplios activos digitales que soportan infraestructuras críticas, lo que significa que tienen una tolerancia mínima al tiempo de inactividad y, por lo tanto, pueden ser más propensas a pagar las demandas de extorsión.
Cisco Talos IR también observó este trimestre un ligero aumento de los ataques dirigidos a dispositivos de red, que representaron el 24% de los casos. Esta actividad incluyó el espionaje de contraseñas, la exploración de vulnerabilidades y la explotación.
Continúa el aumento del BEC
En los ataques BEC, los adversarios comprometen cuentas de correo electrónico legítimas de empresas y las utilizan para enviar correos electrónicos de phishing con el fin de obtener información confidencial, como credenciales de cuentas. Los agresores también pueden utilizar las cuentas comprometidas para enviar correos electrónicos con solicitudes financieras fraudulentas, como el cambio de información de cuentas bancarias relacionadas con nóminas o facturas de proveedores.
En algunos de los incidentes de BEC observados en los que se utilizó un método de phishing como vector de infección, los adversarios aprovecharon el phishing por SMS, o «smishing», para comprometer las cuentas. Esto implica el envío de mensajes de texto fraudulentos para engañar a los destinatarios con el fin de que compartan información personal o hagan clic en enlaces maliciosos.
Dirigirse a los dispositivos móviles personales de los empleados puede ser un método eficaz para el acceso inicial, ya que pueden no tener los mismos controles de seguridad que sus dispositivos corporativos. Las organizaciones deben asegurarse de que las estafas de phishing por SMS se incluyan en la formación de concienciación sobre seguridad para sus colaboradores.
Tendencias del ransomware
El ransomware representó el 30 por ciento de los compromisos de este trimestre, un aumento del 22 por ciento respecto al trimestre anterior. Talos IR observó las familias de ransomware Mallox y Underground Team por primera vez este trimestre. Talos IR también respondió al ransomware Black Basta y BlackSuit visto anteriormente este trimestre, que recientemente evaluó como dos de los principales actores dentro del panorama actual del ransomware.
En particular, el 80 % de los ataques de ransomware de este trimestre carecían de la debida implementación de MFA en sistemas críticos, como las redes privadas virtuales (VPN), lo que permitió a los adversarios obtener el acceso inicial. Además, se observó ofuscación de comandos, como la codificación Base64, en el 40% de los ataques de ransomware de este trimestre, probablemente para eludir la detección ocultando la verdadera intención de los comandos.
Selección de dispositivos de red
Cisco Talos IR observó este trimestre un ligero aumento de los ataques a dispositivos de red, que representaron el 24% de los casos. Esta actividad incluyó el rociado de contraseñas, la exploración de vulnerabilidades y la explotación. Los dispositivos de red deben parcharse con regularidad y supervisarse activamente, ya que proporcionan una ruta crítica para los datos que entran y salen de la red. Si se ponen en peligro, un adversario podría entrar inmediatamente en una organización, desviar o cambiar el tráfico de la red y vigilar las comunicaciones de la red.
Vectores iniciales
Cuando se conoció, el medio más observado para obtener acceso inicial fue el uso de credenciales comprometidas en cuentas válidas, lo que supuso el 60% de los ataques. Esto significó un aumento del 25% con respecto al trimestre anterior, en el que las cuentas válidas también fueron uno de los principales vectores de ataque.
Debilidades de seguridad
Los sistemas vulnerables o mal configurados y la falta de una implementación adecuada de la autenticación multifactor (MFA, por sus siglas en inglés) empataron en los principales puntos débiles de seguridad observados este trimestre, representando casi todos los compromisos. Talos IR observó un aumento del 46% en cada uno de estos puntos débiles de seguridad con respecto al trimestre anterior.
Los sistemas que no están actualizados con los últimos parches son potencialmente vulnerables. No se configuran teniendo en cuenta las mejores prácticas del sector en materia de seguridad, lo que deja a la organización expuesta, por ejemplo, a un servidor público al que se supone que solo se puede acceder internamente.
Talos IR recomienda implementar MFA en todos los servicios críticos, incluyendo todos aquéllos de acceso remoto y gestión de acceso a identidades (IAM). MFA será el método más eficaz para la prevención de compromisos remotos. MFA también puede ayudar a prevenir el movimiento lateral al requerir que todos los usuarios administrativos proporcionen una segunda forma de autenticación.
Las organizaciones pueden configurar alertas para la autenticación de factor único con el fin de identificar rápidamente posibles lagunas.
Este trimestre, Talos IR siguió observando que los usuarios aceptaban las notificaciones push de MFA dentro de los compromisos, pero se produjo un notable descenso con respecto al gran aumento de la actividad observado el trimestre pasado. En un caso de actividad BEC, varios empleados recibieron correos electrónicos de phishing desde el correo electrónico de un socio de confianza que había sido comprometido por el adversario.
Los correos contenían enlaces a páginas de inicio de sesión falsas destinadas a recopilar credenciales. Al menos un empleado proporcionó sus credenciales, lo que resultó en el envío de una notificación push MFA al teléfono del empleado, que aceptó concediendo acceso al adversario. Talos IR recomienda a las organizaciones educar a sus empleados sobre los canales específicos y puntos de contacto para informar de estos incidentes. Además, la cuenta del empleado no contaba con alertas para evitar escenarios de viajes imposibles. Los viajes imposibles se refieren al escenario en el que un usuario se autentica desde dos ubicaciones en un periodo irrealmente breve para haber viajado entre las ubicaciones.
Talos IR recomienda revisar las configuraciones en las plataformas de gestión de acceso a identidades (IAM) para identificar intentos de inicio de sesión arriesgados, como viajes imposibles para evitar accesos no autorizados. Además, las organizaciones deben establecer la supervisión de los registros de dispositivos y la generación de códigos de derivación.