Vulnerar una red se ha vuelto un negocio sumamente lucrativo para los cibercriminales que buscan cualquier error en la protección para ingresar a una red y afectar su funcionamiento con amenazas como ransomware para cobrar un rescate. Afectaciones que pueden detener las operaciones de una organización y con ello parar desde la entrega de un servicio básico para una población, hasta poner en riesgo la vida de las personas y el ecosistema.
Lectura recomendada: Guía para compradores de ciberseguridad basada en el comportamiento
Durante los últimos años hemos visto un aumento significativo en lo que se refiere a los ciberataques a organizaciones de todos los niveles y derivado de la pandemia, esta tendencia ha ido al alza, en especial porque se abrieron nuevos flancos, como lo es el home office, donde los CIOs ahora debieron ofrecer seguridad a sus usuarios conectados externamente desde diferentes lugares o las diferentes amenazas de ataque a las redes que transportan información de las vacunas.
Los ataques no cesan y por ello Cisco Talos presentó el reporte sobre los principales programas maliciosos detectados entre noviembre del 2020 y febrero del 2021, y confirmó que el Ransomware domina el panorama de amenazas por séptimo trimestre consecutivo al representar el 50 por ciento de todos los ataques, con una tendencia al alza desde el 40 por ciento en el anterior trimestre. Los troyanos utilizados ahora como un commodity fueron la segunda amenaza más observada con 42 por ciento de todas las amenazas, un gran aumento para esta categoría de malware.
En su informe Cisco Talos Incident Response (CTIR) observó que las principales variantes de ransomware fueron Ryuk y Vatet, lo que es notable dada la ausencia de Ryuk en el trimestre previo. También se observaron variantes de Egregor y WastedLocker las cuales apuntan a organizaciones de todo el mundo.
A diferencia del último trimestre, sin embargo, estos ataques ransomware se basaron en phishing entregando documentos que ejecutan alguna carga maliciosa utilizando macros (maldocs) tales como Zloader, BazarLoader y IcedID. Casi el 70 por ciento de los ataques ransomware se basaron en troyanos de materias primas este trimestre. Los adversarios también emplean herramientas disponibles comercialmente como Cobalt Strike, herramientas post-explotación de código abierto como Bloodhound y herramientas nativas en el sistema de la víctima, como PowerShell.
Cisco Talos Incident Response (CTIR) participó en varias interacciones de respuesta a incidentes en las que las organizaciones descargaron sin saberlo actualizaciones con comportamiento troyano al software Orion de SolarWinds ampliamente implementado.
Nota relacionada: Más de la mitad de las víctimas de ransomware en México paga rescate
De cara al futuro, Microsoft anunció recientemente cuatro vulnerabilidades críticas en su Exchange Server y reveló que un actor de amenazas llamado Hafnium había estado explotando estas vulnerabilidades de webshells dirigidos a un conjunto de organizaciones. Pronto otros actores de amenazas comenzaron a aprovechar estas exploits también, que van desde Amenazas Peristentes Avanzadas (APT) hasta grupos que desarrollan criptominería, con organizaciones afectadas estimadas en decenas de miles. CTIR ha estado respondiendo a un número creciente de incidentes relacionados con las vulnerabilidades de Microsoft Exchange.
Organizaciones de atención médica, en especial peligro
Los actores maliciosos se dirigieron a una amplia gama de verticales, incluyendo gestión de negocios, construcción, educación, energía y servicios públicos, entretenimiento, financiero, gubernamental, atención médica, distribución industrial, legal, fabricación y tecnología. Es importante destacar que los adversarios se dirigieron más a menudo a la atención médica, como anticipamos el trimestre pasado dada la serie de ataques ransomware dirigidos a organizaciones encargadas de la salud. Vale la pena señalar que ha habido un aumento en los incidentes relacionados con el malware Vatet, que se ha dirigido a este tipo de organizaciones. CTIR identificó un patrón potencial en el que los hospitales regionales asociados a una entidad o estado son atacados inicialmente y pueden servir como objetivos continuamente, en especial si tienen conexiones VPN activas con la organización afectada. Hay muchas razones por las que los actores continúan apuntando a la industria de la atención médica, incluida la pandemia COVID-19 que incentiva a las víctimas a pagar para restablecer los servicios lo antes posible.
Por: Yair Lelis, Director de Seguridad de Cisco México.