El informe de amenazas destaca cambios significativos en bandas de ransomware y campañas de malware. El Informe de amenazas cibernéticas de Deep Instinct insinúa tácticas desconocidas y nuevas víctimas en 2022.
Deep Instinct ha publicado su Informe semestral de amenazas cibernéticas de 2022. La última edición del informe se centra en las principales tendencias y tácticas de malware y ransomware de la primera mitad de 2022, y proporciona información y pronósticos clave para el panorama de amenazas de ciberseguridad en constante (y rápida) evolución.
Los principales hallazgos del informe
Cambios en la estructura de los ciberdelincuentes
Las actividades observadas con más frecuencia incluyen cambios en el mundo de las pandillas de ransomware, incluidas LockBit, Hive, BlackCat y Conti. Este último ha producido "Conti Splinters", que están compuestos por Quantum, BlackBasta y BlackByte. Estos tres conocidos antiguos subgrupos del Grupo Conti empezaron a operar por su cuenta después de que Conti se retirara.
Campañas de malware en transición
El informe destaca las razones de los cambios significativos en Emotet, Agent Tesla, NanoCore y otros. Por ejemplo, Emotet usa macros VBA muy ofuscadas para evitar la detección.
Mientras Microsoft cierra una puerta, los actores malintencionados abren una ventana
Los expertos de Deep Instinct descubrieron que después de que Microsoft deshabilitó las macros en los archivos de Microsoft Office de forma predeterminada, los documentos ya no son el principal vector de ataque del malware. En cambio, las observaciones han demostrado que los atacantes cibernéticos ahora están utilizando otros métodos para propagar su malware, como LNK, HTML y archivos adjuntos de correo electrónico.
Principales vulnerabilidades que se explotan fácilmente
Vulnerabilidades como SpoolFool, Follina y DirtyPipe
Ilustran la explotabilidad de los sistemas Windows y Linux a pesar de los esfuerzos por mejorar su seguridad. Un análisis del catálogo de vulnerabilidades conocidas publicado por CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) muestra que la cantidad de vulnerabilidades explotadas aumenta cada tres o cuatro meses, y esperamos el próximo aumento hacia fines de año.
Los ataques de exfiltración de datos ahora se extienden a terceros
Los grupos de piratas informáticos utilizan la exfiltración de datos en sus ataques para exigir un rescate por los datos filtrados. En el caso de la exfiltración de datos confidenciales, hay menos oportunidades de recuperación, por lo que muchos atacantes van más allá y exigen rescates de empresas de terceros si su información confidencial también se encuentra entre los datos robados.
No sorprende que los ataques de ransomware continúen representando una seria amenaza para las empresas, considerando que actualmente hay 17 bases de datos filtradas operadas por ciberdelincuentes. Estos utilizan los datos para ataques a empresas de terceros y en particular para ingeniería social, robo de datos de acceso y triple extorsión (descrito en el punto 5).
El informe también incluye tres pronósticos específicos:
Insiders y programas de afiliados
Los actores de amenazas maliciosos siempre buscan el eslabón más débil de la red. Con las innovaciones en seguridad cibernética en aumento, algunos atacantes eligen encontrar objetivos débiles directamente o simplemente pagar a un infiltrado. Grupos como Lapsus$, por ejemplo, dependen menos de la explotación de vulnerabilidades que de personas internas que están dispuestas a vender el acceso a ciertos datos dentro de su organización.
Los productos de protesta están en aumento
El fenómeno del protestware no solo goza de una creciente popularidad, sino también de un uso cada vez mayor. Se trata del autosabotaje del propio software, que se convierte en un arma cibernética indirecta con la ayuda de malware y perjudica a todos o algunos de los usuarios. La guerra entre Rusia y Ucrania ha llevado a un aumento en el protestware, el ejemplo más notorio es el limpiador node-ipc, un popular paquete de NPM. Dichos ataques a la cadena de suministro no son fáciles de detectar y, por lo general, no se descubren hasta que varias víctimas se ven afectadas.
Ataques de fin de año: si bien no hemos oído hablar de una vulnerabilidad importante en 2022 comparable a los casos de Log4J o Exchange en 2021, la cantidad de vulnerabilidades y exposiciones comunes asignadas públicamente (CVE y vulnerabilidades) para las vulnerabilidades informadas ha aumentado en comparación con el año anterior. Los atacantes cibernéticos todavía están explotando vulnerabilidades heredadas en 2022 simplemente porque hay una gran cantidad de sistemas sin parches para 2021 CVE.
Más en DeepInstinct.com
Acerca de Instinto Profundo
Deep Instinct adopta un enfoque preventivo para detener el ransomware y otro malware con el primer y único marco de trabajo de aprendizaje profundo especialmente diseñado para la ciberseguridad.