De acuerdo con un nuevo informe de Palo Alto Networks, el intenso uso de vulnerabilidades de software coincide con el comportamiento oportunista de los actores de amenazas que buscan en internet vulnerabilidades y puntos débiles en los que concentrarse. El Informe de respuesta a incidentes de 2022 de Unit 42 ofrece una variedad de conocimientos obtenidos por el extenso trabajo de respuesta a incidentes (RI) de Unit 42 de Palo Alto Networks, aprovechando una muestra de más de 600 casos de RI recibidos, para ayudar a los CISO y equipos de seguridad a comprender los mayores riesgos de seguridad a los que se enfrentan, y dónde priorizar los recursos para reducirlos.
En el informe, Unit 42 identificó que entre las industrias que recibieron el promedio más alto de solicitudes de rescate se encontraron las finanzas y los bienes raíces, con una demanda promedio de casi $8 millones y $5.2 millones de dólares, respectivamente. En general, el ransomware y el correo electrónico empresarial comprometido fueron los principales tipos de casos a los que atendió el equipo de respuesta a incidentes durante los últimos 12 meses, lo que representa aproximadamente el 70 % de los ataques.
“En este momento, el delito cibernético es un negocio de fácil ingreso debido a su bajo costo y, a menudo, altos rendimientos. Así, los actores de amenazas novatos y no calificados pueden empezar con el acceso a herramientas como ‘hacking como servicio’, que se está volviendo cada vez más popular y accesible en la “dark web”, comentó Wendi Whitmore, Vicepresidenta Senior y Directora de Unit42 de Palo Alto Networks. “Los atacantes de ransomware también se están volviendo más organizados, con servicio al cliente y encuestas de satisfacción a medida que interactúan con los ciberdelincuentes y las organizaciones víctimas”.
Las tendencias clave cubiertas en el informe incluyen:
Ransomware
Una nueva víctima de ransomware se publica en sitios de filtraciones cada cuatro horas. La identificación temprana de la actividad de ransomware es fundamental para las organizaciones. Por lo general, los actores de ransomware solo se descubren después de que se cifran los archivos y la organización víctima recibe una nota de rescate. Unit 42 ha identificado que el tiempo medio de permanencia, es decir, el tiempo que los actores de amenazas pasan en un entorno objetivo antes de ser detectados, fue de 28 días. Las demandas de rescate han llegado a los 30 millones de dólares y los pagos reales ascienden a los 8 millones de dólares, un aumento constante en comparación con los hallazgos del Informe de Ransomware de 2022 de Unit 42. Además, las organizaciones afectadas también pueden esperar que los actores de amenazas utilicen la doble extorsión, amenazando con divulgar públicamente información confidencial si no se paga un rescate.
BEC (Business Email Compromise, por sus siglas en inglés)
Los ciberdelincuentes utilizaron una variedad de técnicas de fraude electrónico que comprometen el correo electrónico empresarial. Las formas de ingeniería social, como el phishing, ofrecen una manera fácil y rentable de obtener acceso encubierto con un bajo riesgo de ser descubierto. Según el informe, en muchos casos, los ciberdelincuentes simplemente piden a sus objetivos inconscientes que entreguen sus credenciales y contraseñas, obteniéndolas de esta manera. Una vez que tienen acceso, el tiempo promedio de permanencia de los ataques BEC fue de 38 días y la cantidad promedio robada fue de $286,000 dólares.
Industrias afectadas
Los atacantes rastrean el dinero cuando se trata de apuntar a industrias; sin embargo, muchos de ellos son oportunistas, simplemente exploran la web en busca de sistemas con vulnerabilidades conocidas para poder aprovecharlas. Unit 42 identificó que las principales industrias afectadas en casos de respuesta a incidentes fueron las finanzas, servicios profesionales y legales, manufactura, atención médica, alta tecnología y venta al por mayor y al por menor. Las organizaciones dentro de estas industrias almacenan, transmiten y procesan grandes volúmenes de información confidencial monetizable que atrae a los actores de amenazas.
El informe también revela algunas estadísticas de casos de RI que los ciberatacantes no quieren que se conozcan:
- Los tres principales vectores de acceso inicial utilizados por los actores de amenazas fueron el phishing, la explotación de vulnerabilidades de software conocidas y los ataques de credenciales de fuerza bruta centrados principalmente en el protocolo de escritorio remoto (RDP). Combinados, estos vectores de ataque constituyen el 77 % de las causas raíz sospechadas de las intrusiones.
- ProxyShell representó más de la mitad de todas las vulnerabilidades explotadas para el acceso inicial con un 55 %, seguido de Log4J (14 %), SonicWall (7 %), ProxyLogon (5 %) y Zoho ManageEngine ADSelfService Plus (4 %).
- En la mitad de todos los casos de RI, nuestros investigadores descubrieron que las organizaciones carecían de autenticación de dos pasos en sistemas importantes orientados a internet, como correo electrónico corporativo, soluciones de red privada virtual (VPN) u otras opciones de acceso remoto.
- En el 13 % de los casos, las organizaciones no contaban con mitigaciones para garantizar el bloqueo de cuentas para ataques de credenciales de fuerza bruta.
- En el 28 % de los casos, los procedimientos de administración con parches deficientes contribuyeron al éxito de las amenazas.
- En el 44 % de los casos, las organizaciones no tenían una solución de seguridad de detección y respuesta de punto final o de detección y respuesta extendida, o estas no estaban completamente implementadas en los sistemas inicialmente afectados para detectar y responder a actividades maliciosas.
- El 75 % de los casos de amenazas internas involucraron a un exempleado.