La cantidad de ataques a través de shells web aumentó a un ritmo superior al promedio en los primeros tres meses de 2023. El informe Cisco Talos muestra que los ataques a través de shells web son el nuevo vector de ataque principal en el primer trimestre de 1. El ransomware se puede proteger mejor.
Según el análisis de Cisco Talos, este tipo de ataque fue responsable de una cuarta parte de todos los incidentes investigados por el Equipo de Respuesta a Incidentes en el primer trimestre de 2023. Al mismo tiempo, la proporción de ataques de ransomware detectados se redujo del 20 % al 10 %. Sin embargo, los investigadores cibernéticos no están dando el visto bueno: porque una quinta parte de todas las actividades de amenazas observadas se atribuyeron a las medidas de los atacantes, que generalmente preceden y se preparan para un ataque de ransomware.
Situación de amenaza para el primer trimestre de 2023
🔎 Muchos ataques a través de shells web: muchas cuentas de usuario de aplicaciones web solo están protegidas con contraseñas débiles o autenticación de un solo factor (Imagen: Cisco).
Talos, una de las organizaciones de inteligencia de amenazas comerciales más grandes del mundo, ha publicado su evaluación trimestral de amenazas para el primer trimestre de 2023. En consecuencia, las aplicaciones web disponibles públicamente fueron un objetivo importante de los actores de amenazas durante este período. Casi la mitad de todos los ataques (45 %) utilizan dichas aplicaciones como vector inicial para obtener acceso a los sistemas. En comparación con el trimestre anterior, esto corresponde a un aumento del 15%.
Muchos de estos ataques utilizaron shells web que comprometieron los servidores expuestos a Internet. En términos generales, un shell web es un script malicioso que se hace pasar por un archivo legítimo, lo que abre una puerta trasera al servidor web. Los shells web generalmente se "dejan atrás" para futuros ataques después de una infiltración ya exitosa. Según los investigadores de Talos, los atacantes se beneficiaron del hecho de que muchas cuentas de usuario de aplicaciones web solo estaban protegidas con contraseñas débiles o autenticación de un solo factor.
Ataque a través de aplicaciones web mal protegidas
"Las fallas en la seguridad de las aplicaciones web se vengan", dice Holger Unterbrink, líder técnico de Cisco Talos en Alemania. “Los resultados de nuestro informe dejan en claro una vez más que la autenticación multifactor y las contraseñas seguras ahora son parte de los conceptos básicos de la higiene cibernética. Especialmente cuando se trata de aplicaciones tan destacadas como los sitios web”.
Defensas reforzadas contra ransomware: Vice Society mitigada
La amenaza del ransomware sigue siendo alta. Si bien Cisco Talos experimentó una disminución general en los casos de extorsión exitosos en el primer trimestre, la actividad general de ransomware sigue siendo alta. Las llamadas actividades "pre-ransomware" representaron alrededor de una quinta parte de todos los ataques, por lo que se puede esperar un aumento en los ataques exitosos nuevamente en los próximos meses. Cisco Talos pudo vincular muchas de las medidas de ataque preparatorias con grupos de ransomware conocidos como Vice Society. Según los investigadores, la rápida intervención de los equipos de seguridad de las empresas víctimas ayudó a contener los ataques antes de que pudiera llevarse a cabo el cifrado.
En el primer trimestre de 2023, el cuidado de la salud fue el principal objetivo de los delincuentes, seguido de cerca por el comercio minorista, los bienes raíces y la hospitalidad.
¿Tienes un momento?
Tómese unos minutos para nuestra encuesta de usuarios de 2023 y ayude a mejorar B2B-CYBER-SECURITY.de!Solo tiene que responder 10 preguntas y tiene la oportunidad inmediata de ganar premios de Kaspersky, ESET y Bitdefender.
Aquí vas directo a la encuesta
Documentos de OneNote como vector de ataque
🔎 En el primer trimestre de 2023, el cuidado de la salud fue el principal objetivo de los delincuentes, seguido de cerca por el comercio minorista (Imagen: Cisco).
El llamado "malware de productos básicos" ya estaba en aumento el año pasado. Es ampliamente utilizado y se puede comprar o descargar de forma gratuita. El malware comercial generalmente no está personalizado y los actores de amenazas lo explotan en varias etapas de sus actividades. En el primer trimestre de 2023, los cargadores de productos básicos vistos anteriormente, como Qakbot, volvieron a aparecer con más fuerza. Qakbot a menudo usaba documentos maliciosos de OneNote.
El uso de archivos adjuntos maliciosos de OneNote también se pudo observar en otros intentos de ataque. Entonces, los actores de amenazas continúan experimentando con tipos de archivos que no dependen de macros, según el análisis de Talos. Microsoft comenzó a deshabilitar macros en sus aplicaciones de forma predeterminada en julio de 2022. Otras aplicaciones que contienen y administran otros archivos también se ven afectadas.
Más resultados en el primer trimestre de 2023
- El treinta por ciento de los casos de ataque observados tenían autenticación multifactor (MFA) no habilitada en absoluto o solo para algunas cuentas y servicios críticos.
- Los recientes éxitos de las fuerzas del orden en la disolución de grandes bandas de ransomware (por ejemplo, Hive) están surtiendo efecto. Sin embargo, esto crea espacio para nuevas familias o la formación de nuevas asociaciones. Una nueva familia de ransomware como servicio (RaaS) apareció con Daixin Ransomware en el primer trimestre de 1.
- El kit de herramientas de código abierto Mimikatz se utilizó en casi el 60 % de las implementaciones de ransomware y preransomware este trimestre. Mimikatz es una herramienta posterior a la explotación ampliamente utilizada para robar ID de inicio de sesión, contraseñas y tokens de autenticación de sistemas Windows comprometidos.
Acerca de Cisco Cisco es la compañía de tecnología líder en el mundo que hace posible Internet. Cisco está abriendo nuevas posibilidades para las aplicaciones, la seguridad de los datos, la transformación de la infraestructura y el empoderamiento de los equipos para un futuro global e inclusivo.