Ciberdelincuencia 2021: el ransomware continúa dominando. En el Informe de amenazas de Sophos 2021 actual, los expertos de Sophos brindan sus evaluaciones de las próximas tendencias de seguridad de TI desde diferentes perspectivas.
Sophos presenta su Sophos Threat Report 2021 actual. Muestra que el ransomware, especialmente con el fenómeno de la extorsión secundaria y el comportamiento rápidamente cambiante de los ciberdelincuentes, dará forma significativa al panorama de amenazas y la seguridad de TI en el próximo año. El Informe de amenazas de Sophos fue escrito por SophosLabs, cazadores de amenazas, el equipo de respuestas rápidas y expertos en la nube e inteligencia artificial y proporciona una descripción general completa de las amenazas de seguridad del año pasado y una perspectiva de las amenazas probables en el próximo año.
Tres importantes tendencias de seguridad para 2021
1. La brecha entre habilidades y recursos de los diversos actores de ransomware continúa creciendo. Los criminales expertos en ransomware están refinando y cambiando constantemente sus tácticas, técnicas y procedimientos para apuntar a organizaciones y corporaciones más grandes con millones de dólares en demandas de rescate. Por ejemplo, en 2020, esta categoría de ransomware incluía Ryuk y RagnarLocker. Además, los expertos de Sophos esperan un número cada vez mayor de ransomware recién llegados. Por lo general, funcionan con ransomware de alquiler basado en menús como Dharma, con el que pueden atacar muchos objetivos con pequeñas demandas de rescate.
Otra tendencia de ransomware para 2021 es lo que se conoce como “chantaje secundario”. Además del cifrado de datos, los atacantes también roban información sensible o confidencial y amenazan con publicarla si no se cumplen los requisitos. Los ejemplos populares de este enfoque incluyen las familias de ransomware Maze, RagnerLocker, Netwalker y REvil.
Familias de ransomware populares
Los registros de certificados TLS relacionados con la pandemia aumentaron casi al mismo tiempo que los registros de dominios (fuente: SophosLabs).
“El modelo de negocio del ransomware es dinámico y complejo. En 2020, en Sophos, vimos una clara tendencia en los atacantes que diferían en sus habilidades y objetivos. También se notó que las herramientas "mejores de su clase" se usaban y se usan una y otra vez contra ciertas familias de ransomware", dice Chester Wisniewski, científico investigador principal de Sophos. "Algunas familias de ransomware como Maze parecieron desaparecer, pero las herramientas y técnicas utilizadas en estos ataques reaparecieron bajo la apariencia de un nuevo ransomware como Egregor. Por lo tanto, la desaparición de jugadores conocidos en el mercado del ransomware no es una señal de que todo esté despejado, porque cuando una amenaza desaparece, otra toma su lugar rápidamente. En muchos sentidos, es casi imposible predecir cómo serán los ataques de ransomware en el futuro. Pero es probable que las tendencias de ataque discutidas en el Informe de amenazas de Sophos a principios de 2020 continúen en 2021”.
2. Amenazas cotidianas como malware incluidos cargadores y botnets, o piratas informáticos oportunistas que comercian con credenciales, continúan planteando un gran desafío para los equipos de seguridad de TI.Dichos ataques están diseñados para recopilar datos críticos de su objetivo y enviarlos a una red de envío de comando y control. Allí, los intrusos escanean cada dispositivo comprometido en busca de su geolocalización y otra información de alto valor, y venden esa información al mejor postor, como un gran grupo de ransomware. Por ejemplo, este año, Ryuk usó Buer Loader para entregar ransomware a las víctimas.
Cualquier infección puede infectar un sistema completo
“Especialmente, el malware cotidiano no debe descartarse como 'ruido de fondo', ya que estos ataques con muchos ataques individuales pueden obstruir completamente el sistema de advertencia de seguridad. Está claro a partir de nuestros análisis que estos ataques también deben tomarse muy en serio, ya que cada infección individual puede conducir a la infección de un sistema completo. Tan pronto como se bloquea o elimina el malware y se limpia la computadora comprometida, muchas personas cierran el capítulo", dice Wisniewski. “Sin embargo, es posible que muchos no sepan que el ataque probablemente estaba dirigido a más de una máquina y que el malware aparentemente fácil de bloquear, como Emotet o Buer Loader, puede conducir posteriormente a ataques más avanzados como Ryuk o Netwalker. Los departamentos de TI a menudo solo notan esto cuando se implementa el ransomware. Por lo tanto, subestimar estas infecciones 'menores' puede resultar muy costoso".
3. Los ciberdelincuentes abusan cada vez más de herramientas legítimas, utilidades conocidas y objetivos de red generalizados para evadir las medidas de seguridad. El uso indebido de los programas estándar de uso común permite a los ciberdelincuentes pasar desapercibidos en la red hasta que lanzan el ataque. Los atacantes motivados por el estado también tienen la ventaja de que el uso de programas neutrales hace que sea más difícil identificarlos si son descubiertos. En 2020, Sophos ya informó sobre la amplia gama de herramientas de ataque estándar de este tipo.
Espacio de caza de amenazas de rápido crecimiento
“El uso indebido de herramientas y técnicas cotidianas para ocultar un ataque desafía los enfoques de seguridad tradicionales, ya que el uso de dichos programas no activa automáticamente una alerta. Aquí es donde el campo de rápido crecimiento de la caza de amenazas entra en juego a través de un equipo de expertos y una respuesta controlada a las amenazas”, dice Wisniewski. “Estos expertos conocen las anomalías sutiles y los signos de un ataque que deben buscar. Esto incluye, por ejemplo, una herramienta legítima que se utiliza en el momento equivocado o en el lugar equivocado. Para los cazadores de amenazas capacitados o los administradores de TI que utilizan las capacidades de detección y respuesta de puntos finales (EDR), estas señales son pistas valiosas para advertir sobre un posible intruso y un ataque en curso”.
Las otras tendencias del Informe de amenazas de Sophos 2021
- Ataques a servidores: los ciberdelincuentes se dirigen a las plataformas de servidores Windows y Linux y usan estas plataformas para atacar a las organizaciones desde adentro.
- La pandemia de COVID-19 tiene un impacto en la seguridad de TI. Esto incluye, por ejemplo, la seguridad en la oficina en casa con redes personales que se basan en niveles de seguridad muy diferentes.
- Desafío de seguridad en entornos de nube. Sin embargo, con la computación en la nube, las empresas se enfrentan a desafíos diferentes que con una red empresarial tradicional.
- Los servicios estándar como RDP y VPN siguen siendo el foco de los atacantes. RDP también se utiliza para propagarse más dentro de las redes.
- Aplicaciones que tradicionalmente han sido marcadas como "Potencialmente no deseadas" (PUA) porque generan una gran cantidad de anuncios. Estos usan tácticas que son cada vez más indistinguibles del malware obvio.
- La sorprendente reaparición de un error antiguo: VelvetSweatshop es una función de contraseña predeterminada para versiones anteriores de Microsoft Excel que se usaba para ocultar macros maliciosas u otro contenido crítico en documentos para evadir la detección de amenazas.
- La necesidad de aplicar enfoques desde la epidemiología. Estos ayudan a cuantificar las amenazas cibernéticas no descubiertas y desconocidas para cerrar las brechas de detección, evaluar mejor los riesgos y definir prioridades.
Directamente al informe del hilo en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.