En 2023, las botnets regresaron de entre los muertos, los actores del ransomware encontraron formas creativas de ganar dinero con el robo y los actores de amenazas que habían estado sueltos durante una década se reinventaron para seguir siendo relevantes.
Los expertos en inteligencia de amenazas de Cisco Talos analizaron los desarrollos clave de 2023 y los resumieron en una revisión anual que vale la pena leer. El trabajo estándar para el año 2023 sobre ciberdelincuencia destaca las tendencias más importantes que dieron forma al panorama de amenazas el año pasado.
Vector de ataque de ransomware
La mayor amenaza para las empresas en 2023 seguía representando el ransomware. Por segundo año consecutivo, LockBit ocupó una ignominiosa posición de liderazgo en este ámbito. Y, como es habitual, los atacantes se centraron en instalaciones que tienen recursos de ciberseguridad limitados o que pueden tolerar poco tiempo de inactividad, especialmente en el sector sanitario. Sin embargo, no todo fue como de costumbre en 2023: actores como Clop confiaron en exploits de día cero. Este comportamiento suele estar asociado con la actividad de los grupos de amenazas persistentes avanzadas (APT). Lo que también fue nuevo fue que los actores del ransomware pasaron al chantaje puro y se saltaron la parte del cifrado.
"Desafortunadamente, en 2023, los ataques con días 0 ya no se limitarán a atacantes de estados-nación", afirma Holger Unterbrink, líder técnico de Cisco Talos en Alemania. “Si el objetivo es lucrativo, las bandas de crimeware atacarán de nuevo en el día 0. Las empresas deberían tener esto en cuenta en su arquitectura de seguridad y gestión de riesgos”.
Los atacantes adaptan sus estrategias
Los datos de telemetría de Cisco Talos muestran que los cargadores de productos básicos de familias conocidas como Qakbot e IcedID continuaron utilizándose para difundir ransomware. Sin embargo, estos cargadores se han despojado de todos los restos de su pasado como troyanos bancarios y ahora se presentan como elegantes herramientas para transmitir datos de carga útil. Los desarrolladores y operadores han podido adaptarse a defensas mejoradas y han encontrado nuevas formas de eludir las actualizaciones de seguridad más frecuentes. También fue sorprendente la velocidad con la que los grupos de ransomware pudieron recuperarse de los éxitos de las investigaciones. El desmantelamiento de la red Quakbot en agosto de 2023 sólo fue efectivo por un corto tiempo. El análisis de Talos sugiere que las acciones policiales pueden no haber afectado la infraestructura de envío de spam de los operadores de Qakbot, sino sólo sus servidores de comando y control (C2).
Dispositivos de red y vulnerabilidades antiguas atacadas
Una tendencia nueva e interregional es el aumento de los ataques a dispositivos de red por parte de APT y actores de ransomware. Ambos grupos se centraron en las vulnerabilidades de los dispositivos y en las credenciales débiles o incorrectas. Esto demuestra que los sistemas de red son extremadamente valiosos para los atacantes, independientemente de sus intenciones específicas.
Cuando se trata de explotar las vulnerabilidades de las aplicaciones, el análisis de Talos muestra que en 2023 los atacantes se dirigieron principalmente a vulnerabilidades antiguas, vulnerabilidades que se conocen desde hace diez años o más, pero que en muchos casos aún no han sido parcheadas. La mayoría de las vulnerabilidades atacadas con más frecuencia están clasificadas como de máxima o alta gravedad por Cisco Kenna y el Common Vulnerability Scoring System (CVSS), y también figuran en el catálogo de vulnerabilidades conocidas de CISA.
El uso de ingeniería social para operaciones como el phishing y el compromiso del correo electrónico empresarial (BEC) también continuó sin cesar en 2023. Sin embargo, como resultado de que Microsoft deshabilite las macros de forma predeterminada en 2022, los atacantes utilizan cada vez más otros tipos de archivos para ocultar su malware. Los PDF fueron la extensión de archivo bloqueada con más frecuencia este año.
Las actividades de la APT demuestran inestabilidad geopolítica
El análisis de los grupos APT de China, Rusia y Medio Oriente ocupa mucho espacio en el Informe Cisco Talos 2023. Los datos de telemetría reflejan claramente un aumento en el tráfico de datos sospechosos paralelo a eventos geopolíticos. Las relaciones cada vez más tensas de Occidente con los países de la región de Asia y el Pacífico han llevado a una mayor disposición de los grupos APT de China a causar daños, especialmente en el área de infraestructuras críticas en países como Taiwán.
En cuanto a las APT rusas, Gamaredon y Turla apuntaron a Ucrania, como se esperaba. Curiosamente, sin embargo, las actividades rusas no demostraron toda la gama de sus capacidades cibernéticas destructivas. Gamaredon apuntó principalmente a instalaciones en América del Norte y Europa, con un número desproporcionado de víctimas en Europa Occidental. MuddyWater, el actor de APT patrocinado por el estado iraní, siguió siendo un importante actor de amenazas en Medio Oriente en 2023. Sin embargo, las contramedidas de la industria han impactado la capacidad del grupo para utilizar sus herramientas estándar, incluida la plataforma de monitoreo y gestión remota (RMM) Syncro.
Los acontecimientos de principios de octubre de 2023 entre Hamás e Israel contribuyeron a que varios grupos hacktivistas con motivaciones políticas lanzaran ataques descoordinados y en su mayoría poco sofisticados contra ambas partes. Una evolución similar ya se pudo observar al comienzo de la guerra entre Rusia y Ucrania. Cisco Talos espera que el complicado y dinámico entorno geopolítico de Oriente Medio también afecte al dominio cibernético.
Información adicional del Informe Talos:
El uso de cuentas válidas fue una de las técnicas de MITRE ATT&CK más comúnmente observadas, lo que destaca que los atacantes dependen de credenciales comprometidas en varias etapas de sus ataques.
Las nuevas variantes de ransomware utilizaron código fuente filtrado de otros grupos de RaaS. Esto también permitió a los actores menos experimentados comenzar con la extorsión con ransomware.
El tráfico de red sospechoso mostró un fuerte aumento de actividad que coincidió con importantes acontecimientos geopolíticos y ciberataques globales, como el ataque DDoS a gran escala contra Microsoft Outlook.
Acerca de Cisco Cisco es la compañía de tecnología líder en el mundo que hace posible Internet. Cisco está abriendo nuevas posibilidades para las aplicaciones, la seguridad de los datos, la transformación de la infraestructura y el empoderamiento de los equipos para un futuro global e inclusivo.
Artículos relacionados con el tema