Los cibercriminales emplean estrategias de ejecución más agresivas en 2022

El número de variantes de ransomware prácticamente se han duplicado en un solo semestre, según los expertos en inteligencia de amenazas de Fortinet. Esta amenaza sigue a adaptándose a las circunstancias y se detectan más variantes habilitadas por el modelo de ransomware como servicio (RaaS). Ante su proliferación, la firma recomienda a las organizaciones que adopten un enfoque de protección proactivo, en el que son necesarias visibilidad, protección y corrección en tiempo real, junto con el acceso a la red de confianza cero (ZTNA) y la detección y respuesta avanzada del endpoint (EDR).

Tendencias de los exploits
La convergencia digital de TI y OT y los endpoints que permiten trabajar desde cualquier lugar siguen siendo vectores clave de ataque, ya que los criminales continúan apuntando a una superficie de ataque en expansión. Muchos exploits para vulnerabilidades en el endpoint involucran a usuarios no autorizados que acceden a un sistema con el objetivo de realizar un movimiento lateral para adentrarse en las redes corporativas. Por ejemplo, se registró un volumen elevado de una vulnerabilidad de suplantación de identidad (CVE 2022-26925), así como de una vulnerabilidad de ejecución remota de código (RCE) (CVE 2022-26937). Asimismo, el análisis de las vulnerabilidades de los endpoints por volumen y detecciones revela el incesante camino de los ciberadversarios que intentan obtener acceso aprovechando al máximo tanto las vulnerabilidades antiguas como las nuevas.

Además, las tecnologías operativas no se libran de malware, tal y como demuestran los análisis específicos de vulnerabilidades en estos entornos. Una amplia gama de dispositivos y plataformas experimentaron exploits in-the-wild, demostrando la realidad de la ciberseguridad ante la creciente convergencia de TI y OT y los objetivos disruptivos de los adversarios. La tecnología avanzada de endpoints puede ayudar a mitigar y remediar eficazmente los dispositivos infectados en una fase temprana de un ataque. Además, los servicios como el servicio de protección contra riesgos digitales (DRPS) pueden utilizarse para realizar evaluaciones de amenazas superficiales externas, encontrar y remediar problemas de seguridad y ayudar a obtener información contextual sobre amenazas actuales e inminentes.

Amenazas destructivas
De acuerdo con el análisis de Fortinet, las tendencias del malware de borrado de disco revelan una inquietante evolución de las técnicas de ataque más destructivas y sofisticadas que destruyen los datos borrándolos. La guerra en Ucrania impulsó un aumento sustancial del malware de borrado de disco entre los cibercriminales, dirigiéndose principalmente a las infraestructuras críticas. FortiGuard Labs identificó al menos siete nuevas variantes importantes de wiper en los primeros seis meses de 2022 que se utilizaron en diversas campañas contra organizaciones gubernamentales, militares y privadas. Este número es significativo porque se acerca al número de variantes de wiper que se han detectado públicamente desde 2012. Además, los wipers no se circunscribían a una sola ubicación geográfica, sino que se detectaron en 24 países, además de Ucrania. Para minimizar el impacto de los ataques tipo wiper, la detección y respuesta a la red (NDR) con inteligencia artificial (AI) para el autoaprendizaje es útil para detectar mejor las intrusiones; no olvidando también la importante recomendación de almacenar las copias de seguridad fuera de las instalaciones y sin conexión.

Principales tácticas de ataque
El análisis de las estrategias de los cibercriminales revela aspectos sobre la evolución de las técnicas y tácticas de ataque. FortiGuard Labs examinó el funcionamiento del malware detectado para seguir la pista a los enfoques más utilizados durante los últimos seis meses. Entre las ocho principales tácticas y técnicas enfocadas al endpoint, la evasión de la defensa fue la táctica más empleada por los desarrolladores de malware. Para ello suelen utilizar la ejecución de proxies.

Ocultar las intenciones maliciosas es una de las tareas más importantes para estos cibercriminales. Por lo tanto, intentan evadir las defensas enmascarándolas y tratando de ocultar los comandos mediante un certificado legítimo para ejecutar un proceso de confianza y llevar a cabo la acción maliciosa.

La segunda técnica más popular fue la inyección de procesos, en la que los delincuentes trabajan para inyectar código en el espacio de direcciones de otro proceso para evadir las defensas y ser más sigilosos. En este contexto, las organizaciones estarán mejor posicionadas para protegerse contra los conjuntos de herramientas de los adversarios armados con esta inteligencia procesable. "Las plataformas de ciberseguridad integradas e impulsadas por IA y ML con capacidades avanzadas de detección y respuesta impulsadas por la inteligencia procesable sobre amenazas son importantes para proteger todos los perímetros de las redes híbridas", sostiene la firma.

La concienciación y la formación en materia de ciberseguridad también son importantes a medida que cambia el panorama de las amenazas para mantener actualizados a los empleados y a los equipos de seguridad.