Es prácticamente la mitad de 2022, por lo que la unidad de investigación de SILIKN desarrolló un análisis en el cual muestran los vectores de ciberataques más comunes, así como algunos otros datos relevantes del sector de seguridad.
Este análisis descubre que los ciberatacantes que han infectado exitosamente a los objetivos con ransomware obtienen acceso principalmente mediante la explotación de conexiones de acceso remoto poco seguras (48.6%) o mediante el uso de correos electrónicos de phishing cargados de malware (39.1%).
La cantidad promedio de rescate exigida en los ciberataques analizados durante el primer semestre de 2022 fue de $528,000 dólares, presentando un aumento del 56.5% con respecto al 2021. Otro dato que señala el análisis es que durante el primer semestre de 2022, el 71% de los ataques de ransomware investigados involucraron la filtración de datos.
México: país bajo fuego cibercriminal
De acuerdo con la unidad de investigación de SILIKN, comparado con 2021, en el primer semestre de 2022 se incrementaron en 41.9% los intentos de ciberataques por semana contra organizaciones de diferentes sectores.
Los estados en México con más ataques fueron: CDMX (22%), Jalisco (18%), Nuevo León (12%), Puebla (7%), Guanajuato (7%), Estado de México (6%), Michoacán (5%), Morelos (5%), Veracruz (3%) y otros (15%).
En México, durante el primer semestre de 2022, el sector que experimentó el mayor volumen de intentos de ciberataques, fue el gobierno, con un promedio de 3,638 por semana (con un incremento del 67.1% con respecto a 2021).
El incremento de ataques semanales por sector en el primer semestre de 2022, con respecto al 2021 en 2021 son:
- Gobierno 70.4%
- Infraestructura crítica 56.1%
- Educación 53.9%
- Proveedores de Servicios Administrados 47.2%
- Cuidado de la salud 45.0%
- Manufactura 33.7%
- Servicios financieros y banca 32.4%
- Aseguradoras 20.6%
- Consultoría 18.4%
- Retail — Venta Minorista 15.4%
- Logística y transportación 14.2%
El gobierno de México ha tenido varios incidentes debido, principalmente, a la falta de actualización de sus sistemas, así como la falta de aplicación de parches de seguridad. Pero también los problemas se han presentado por una falta de monitoreo de los activos tecnológicos y la escasa capacitación y concientización de los empleados en temas de ciberseguridad.
Los vectores de ataque comunes siguen funcionando
Cabe mencionar que los vectores de ataque han cambiado poco con respecto a años anteriores. Quizás esto no debería sorprender, ya que el motivo principal de los ciberdelincuentes sigue siendo obtener ganancias de la manera más fácil y rápida posible, por lo que si las técnicas de ataque utilizadas han ofrecido un buen retorno de la inversión, es entendible que las sigan utilizando.
Otro punto importante del análisis de la unidad de investigación de SILIKN muestra que la economía del ciberdelito como servicio hace que las credenciales RDP y VPN estén disponibles a la venta a través de los intermediarios de acceso inicial que las recopilan, a menudo con precios adaptados a los ingresos anuales de cada víctima.
Algunos grupos de ransomware también mantienen acuerdos exclusivos con sus intermediarios, a quienes pagan una tarifa fija o, en otros casos, comparten una parte acordada previamente, de cualquier rescate que pague la víctima.
De igual forma, el malware básico implementado en la etapa inicial (como Emotet, Qakbot o IcedID) se ha vuelto cada vez más popular entre los grupos cibercriminales de ransomware y, mientras en 2021 pocos grupos cibercriminales eran los que tenían la capacidad de ejecutar las cepas de malware, en 2022, son ahora muchas las pandillas afiliadas (por ejemplo al grupo cibercriminal de ransomware, Conti) que utilizan las cepas disponibles. Hablando de Conti, la filtración en febrero de 2022 de sus comunicaciones internas evidenció que el creador y desarrollador del malware IcedID, trabajaba para ellos.
Otro elemento a destacar es que después de obtener acceso a la red de una víctima, la herramienta más utilizada por los ciberatacantes (en un 80.9% de los ataques), ha sido un software comercial llamado SoftPerfect Network Scanner, el cual hace ping a las computadoras, escanea puertos, descubre carpetas compartidas y recupera prácticamente cualquier información sobre dispositivos de red a través de WMI, SNMP, HTTP, SSH y PowerShell, por lo cual se presenta como una herramienta de suma utilidad.
Por: Víctor Ruiz, fundador de SILIKN.