Informe de IBM: El ransomware persistió a pesar de mejorar su detección en 2022

El sector manufacturero es el más extorsionado; aumentan los intentos de secuestro de hilos de correo electrónico; el tiempo hasta el rescate pasa de meses a días.

0
44

IBM Security ha publicado su índice anual X-Force Threat Intelligence Index, que revela que, aunque la proporción de incidentes de ransomware disminuyó solo ligeramente (4 puntos porcentuales) de 2021 a 2022, los defensores tuvieron más éxito en la detección y prevención del ransomware. A pesar de ello, los atacantes siguieron innovando, y el informe muestra que el tiempo medio para completar un ataque de ransomware se redujo de 2 meses a menos de 4 días.

Según el informe 2023, el despliegue de puertas traseras, que permiten el acceso remoto a los sistemas, se convirtió en la principal acción de los atacantes el año pasado. Alrededor del 67% de esos casos de puertas traseras estaban relacionados con intentos de ransomware, en los que los defensores pudieron detectar la puerta trasera antes de que se desplegara el ransomware. El repunte en el despliegue de puertas traseras puede atribuirse en parte a su alto valor de mercado. X-Force ha observado que los actores de amenazas venden el acceso a puertas traseras existentes por hasta US$10.000, en comparación con los datos de tarjetas de crédito robados, que hoy en día pueden venderse por menos de US$10.

«El cambio hacia la detección y la respuesta ha permitido a los defensores interrumpir a los adversarios en una fase más temprana de la cadena de ataque, moderando la progresión del ransomware a corto plazo», afirma Charles Henderson, responsable de IBM Security X-Force. «Pero es sólo cuestión de tiempo que el problema de las puertas traseras de hoy se convierta en la crisis del ransomware de mañana. Los atacantes siempre encuentran nuevas formas de eludir la detección. Una buena defensa ya no es suficiente. Para liberarse de la interminable carrera de ratas con los atacantes, las empresas deben impulsar una estrategia de seguridad proactiva y orientada a las amenazas.»

El IBM Security X-Force Threat Intelligence Index rastrea tendencias y patrones de ataque nuevos y existentes, a partir de miles de millones de datos procedentes de dispositivos de red y terminales, respuestas a incidentes y otras fuentes.

Algunas de las principales conclusiones del informe de 2023 incluyen:
– Extorsión: El método preferido de los actores de amenazas. El impacto más común de los ciberataques en 2022 fue la extorsión, que se logró principalmente a través de ransomware o ataques de compromiso de correo electrónico empresarial. Europa fue la región más atacada por este método, representando el 44% de los casos de extorsión observados, ya que los actores de amenazas buscaron explotar las tensiones geopolíticas.
– Los ciberdelincuentes se aprovechan de las conversaciones de correo electrónico. El secuestro de conversaciones experimentó un aumento significativo en 2022, con atacantes que utilizan cuentas de correo electrónico comprometidas para responder en conversaciones en curso haciéndose pasar por el participante original. X-Force observó que la tasa de intentos mensuales aumentó un 100% en comparación con los datos de 2021.
– Los exploits heredados siguen haciendo su trabajo. La proporción de exploits conocidos en relación con las vulnerabilidades disminuyó 10 puntos porcentuales de 2018 a 2022, debido a que el número de vulnerabilidades alcanzó otro récord en 2022. Los hallazgos indican que los exploits heredados permitieron que las infecciones de malware más antiguas, como WannaCry y Conficker, siguieran existiendo y propagándose.

La presión de la extorsión se aplica (de forma desigual)
Los ciberdelincuentes a menudo se dirigen a las industrias, empresas y regiones más vulnerables con esquemas de extorsión, aplicando una alta presión psicológica para obligar a las víctimas a pagar. La industria manufacturera fue la más extorsionada en 2022, y fue la industria más atacada por segundo año consecutivo. Las organizaciones manufactureras son un objetivo atractivo para la extorsión, dada su extremadamente baja tolerancia al tiempo de inactividad.

El ransomware es un método de extorsión bien conocido, pero los actores de amenazas siempre están explorando nuevas formas de extorsionar a las víctimas. Una de las últimas tácticas consiste en hacer que los datos robados sean más accesibles para las víctimas. Al involucrar a clientes y socios comerciales, los operadores aumentan la presión sobre la organización afectada. Los actores de las amenazas seguirán experimentando con las notificaciones a las víctimas en sentido descendente para aumentar los costes potenciales y el impacto psicológico de una intrusión, por lo que es fundamental que las empresas cuenten con un plan de respuesta a incidentes personalizado que también tenga en cuenta el impacto de un ataque en las víctimas en sentido descendente.

Aumenta el secuestro de hilos
La actividad de secuestro de hilos de correo electrónico aumentó el año pasado, duplicándose los intentos mensuales de los actores de amenazas en comparación con los datos de 2021. A lo largo del año, X-Force descubrió que los atacantes utilizaron esta táctica para distribuir Emotet, Qakbot e IcedID, software malicioso que a menudo provoca infecciones de ransomware.

Teniendo en cuenta que el phishing fue la principal causa de ciberataques el año pasado y que el secuestro de hilos ha aumentado considerablemente, está claro que los agresores se aprovechan de la confianza depositada en el correo electrónico. Las empresas deben concienciar a sus empleados sobre el secuestro de hilos para reducir el riesgo de que sean víctimas.

Cuidado con la brecha: la «I+D» de exploits va por detrás de las vulnerabilidades
La relación entre exploits conocidos y vulnerabilidades ha ido disminuyendo en los últimos años, bajando 10 puntos porcentuales desde 2018. Los ciberdelincuentes ya tienen acceso a más de 78.000 exploits conocidos, lo que facilita la explotación de vulnerabilidades más antiguas y sin parches. Incluso después de 5 años, las vulnerabilidades que conducen a las infecciones de WannaCry siguen siendo una amenaza significativa. X-Force informó recientemente de un aumento del 800% en el tráfico de ransomware WannaCry dentro de los datos de telemetría de MSS desde abril de 2022. El uso continuado de exploits antiguos pone de relieve la necesidad de que las organizaciones perfeccionen y maduren los programas de gestión de vulnerabilidades, incluyendo una mejor comprensión de su superficie de ataque y la priorización basada en el riesgo de los parches.

Otras conclusiones del informe de 2023 son:
– Los phishers «renuncian» a los datos de tarjetas de crédito. El número de ciberdelincuentes que se centran en la información de tarjetas de crédito en kits de phishing se redujo un 52% en un año, lo que indica que los atacantes están dando prioridad a la información de identificación personal, como nombres, correos electrónicos y direcciones de casa, que se pueden vender a un precio más alto en la web oscura o utilizarse para llevar a cabo otras operaciones.
– Norteamérica se llevó la peor parte de los ataques contra el sector de la energía. La energía se mantuvo como el cuarto sector más atacado el año pasado, ya que las fuerzas globales siguen afectando a un comercio energético mundial ya de por sí tumultuoso. Las organizaciones norteamericanas del sector de la energía sufrieron el 46% de todos los ataques observados el año pasado, un 25% más que en 2021.
– Asia encabeza la lista de objetivos. Con casi un tercio de todos los ataques a los que X-Force respondió en 2022, Asia sufrió más ciberataques que ninguna otra región. El sector manufacturero representó casi la mitad de todos los casos observados en Asia el año pasado.

Fuente: IBM Security

 

Custom Text
Artículo anteriorMejores prácticas de Avaya para agentes remotos de Centros de Contacto
Artículo siguienteLa evolución de la fibra óptica permite ampliar las conexiones de red