(ITNOW)-. El período que tarda un atacante en desplazarse lateralmente de un host comprometido a otro dentro del entorno de la víctima— se reduce en 2021 a 1 hora y 38 minutos en promedio en el caso de actividades ciberdelictivas de intrusión de tipo mando y control (hands-on-keyboard), según CrowdStrike.
En esta edición de 2022, se analizó los incidentes y las tendencias más significativos de 2021 en materia de ciberseguridad, así como los atacantes responsables, según CrowdStrike.
Así lo reveló el informe anual Global Threat Report de CrowdStrike que ahonda sobre el panorama de las amenazas cibernéticas y las nuevas tácticas de los atacantes en la actualidad.
En esta edición de 2022, se analizó los incidentes y las tendencias más significativos de 2021 en materia de ciberseguridad, así como los atacantes responsables.
También en la investigación anual se identificó al Malware: de todas las detecciones registradas por CrowdStrike Security.
Detallaron que Cloud en el cuarto trimestre de 2021, casi dos tercios (el 62 %) no estaban basadas en malware.
“En lugar de recurrir al malware, los atacantes están sacando partido cada vez más a las credenciales legítimas y las herramientas incorporadas —un enfoque basado en los recursos que ya existen en el entorno de la víctima y que se conoce como “living off the land· (LOTL)— en un intento deliberado de evitar ser detectados por los antivirus convencionales”, aseveraron en el informe Global Threat Report de CrowdStrike.
Asimismo, estuvo presente como tendencia la Distribución de los ataques: la actividad ciberdelictiva con fines económicos continúa dominando los intentos de intrusión interactiva a los que OverWatch ha seguido la pista.
Indicaron también que las intrusiones atribuidas a la ciberdelincuencia en 2021 ascienden a casi la mitad (el 49 %) de la actividad observada, mientras que las intrusiones selectivas representan el 18 %. Además, casi un tercio (el 32 %) de los atacantes continúan siendo anónimos.
Lecciones
El ransomware, y el atacante en continua adaptación
El crecimiento y las consecuencias de la caza mayor en 2021 se dejaron notar en todos los sectores y casi en todas las regiones del mundo.
CrowdStrike Intelligence registró un aumento del 82 % de las fugas de datos relacionadas con ransomware en 2021. Esto, unido a otras fugas de datos, resalta lo valioso que son los datos de las víctimas para los atacantes.
El aumento de vigilancia e intervención por parte de Administraciones y autoridades competentes, así como la mayor cobertura en los medios han provocado fluctuaciones y variabilidad en el índice de ciberdelincuencia de CrowdStrike (eCrime Index, ECX).
Las nuevas tácticas, técnicas y procedimientos (TTP) empleados en los ataques de robo de datos en 2021, como el desarrollo de herramientas de exfiltración avanzadas, sirvieron de ayuda a los atacantes para extorsionar a sus víctimas.
Irán y la nueva cara de las operaciones desestabilizadoras
Desde finales de 2020, diversos atacantes y grupos ciberdelictivos vinculados con Irán han adoptado el uso de varias técnicas dirigidas a atacar diversas organizaciones de Estados Unidos, Israel y otros países de la región de Oriente Medio y África del Norte (MENA).
En 2021, estos ciberdelincuentes se hicieron pasar por piratas activistas, o hacktivistas, para dirigir ataques “lock-and-leak”, en los que se emplea ransomware para cifrar redes y, después, se filtra información de las víctimas a través de entidades y personas controladas por los atacantes.
Las operaciones lock-and-leak de alto nivel, así como los métodos de ransomware más tradicionales, proporcionan a Irán la capacidad efectiva de atacar con graves consecuencias a sus rivales en esta región y en otros países de cara al próximo año.
China emerge como líder en aprovechamiento de vulnerabilidades
Los atacantes con vínculos con China desplegaron exploits para nuevas vulnerabilidades a un ritmo significativamente mayor en 2021.
CrowdStrike Intelligence confirmó que el aprovechamiento de las vulnerabilidades publicadas se multiplicó por seis de 2020 a 2021, y vinculó con estos ataques a diez atacantes o grupos ciberdelictivos conocidos.
2021 marcó un cambio en el método de exploit más usado por los atacantes relacionados con China: de ataques que exigían la interacción de los usuarios se pasó al aprovechamiento de vulnerabilidades en servicios o dispositivos con conexión a Internet.
A lo largo de 2021, los atacantes chinos se centraron considerablemente en una serie de vulnerabilidades de Microsoft Exchange —que ahora se denominan de manera colectiva ProxyLogon y ProxyShell— y las utilizaron para lanzar intrusiones contra numerosas organizaciones de todo el mundo.
Log4Shell incendia Internet
Dado el número de endpoints posiblemente afectados, Log4Shell acaparó más atención que ninguna otra vulnerabilidad en 2021.
Log4Shell, que se denunció por primera vez en noviembre de 2021, aprovecha Log4j2 de Apache, una biblioteca de creación de registros muy común que emplean numerosas aplicaciones web.
“Hubo ciberdelincuentes oportunistas que participaron activamente en el aprovechamiento generalizado de Log4Shell, normalmente asociado a malware básico utilizado por redes de bots, mientras que otros atacantes adoptaron Log4Shell como vector de acceso para permitir operaciones de ransomware”, asevera el informe.
Aumentan las amenazas contra los entornos de la nube
CrowdStrike Intelligence observó un aumento de ataques a servicios basados en la nube en 2021.
Entre los vectores más habituales de ataque a la nube que emplean los ciberdelincuentes y los autores de intrusiones selectivas, se incluyen el aprovechamiento de vulnerabilidades de la nube, el robo de credenciales, el uso ilícito de proveedores de servicios de la nube, el uso de servicios en la nube para alojar malware y los ataques de mando y control, así como el uso ilícito de contenedores de imágenes con errores de configuración.
Los ciberdelincuentes explotan cada vez más conocidas herramientas de colaboración y uso compartido de archivos durante las operaciones de la red. Es posible que esta tendencia se mantenga, ya que cada vez más empresas tienen intención de usar entornos de trabajo híbridos.
Los ciberdelincuentes rusos recurren cada vez más a la nube para atacar a nuevas víctimas. FANCY BEAR ha atacado a numerosos proveedores de correo electrónico en la nube para recopilar credenciales, mientras que COZY BEAR ha demostrado en repetidas ocasiones un alto nivel de competencia para sacar partido tras los ataques en los entornos en la nube.
En un sector donde es de importancia vital anticiparse, es posible que se pregunte por qué nos centramos en el pasado, pero ahí radica la relevancia de este informe anual de CrowdStrike: comprender el significado de los incidentes recientes hace posible tener visibilidad sobre la dinámica cambiante de las tácticas de los atacantes, lo cual es esencial para adelantarse a las amenazas actuales y, en última instancia, neutralizarlas.
El informe de este año, el más actualizado, proporciona información crucial sobre lo que los equipos de seguridad deben conocer —y hacer— en un panorama de amenazas cada vez más inquietante. Y está elaborado sobre la base de las observaciones de primera mano de los equipos de CrowdStrike Intelligence y Falcon OverWatchTM, junto con las conclusiones obtenidas de la ingente cantidad de datos de telemetría de CrowdStrike Security Cloud.
Comments