Editor Top
Los grupos de amenazas van en aumento, y la unidad de ciberdefensa de Google Cloud, Mandiant, está rastreando 3500 de ellos, con 900 agregados el año pasado, incluidos 265 identificados por primera vez durante las investigaciones de Mandiant en 2022.
El informe M-Trends 2023 de Mandiant sobre el panorama de la ciberseguridad global encontró que las organizaciones enfrentaron intrusiones de grupos avanzados, incluidas entidades patrocinadas por el gobierno de China y Rusia, grupos de amenazas con motivación financiera y 335 grupos de amenazas sin clasificar.
La mayor proporción de grupos, casi la mitad de los seguidos por Mandian, buscaron ganancias financieras, según el informe.
Salta a:
El ‘tiempo de permanencia’ se desploma en todo el mundo
El tiempo de permanencia, la cantidad de días que un adversario acecha en una red objetivo antes de ser detectado, se redujo el año pasado. Según el informe M-Trends, el tiempo medio de permanencia global fue de 16 días, el tiempo más corto para todos los períodos de informes desde que se lanzó el informe M-Trends hace 14 años, y menor que los 21 días de 2021.
Suben las notificaciones externas de incidencias
La firma notó un aumento en los esfuerzos de notificación proactiva por parte de los socios de seguridad. El informe dice que las organizaciones en las Américas fueron notificadas por una entidad externa en el 55% de los incidentes, en comparación con el 40% de los incidentes en 2021, el porcentaje más alto de notificaciones externas que las Américas han visto en los últimos seis años.
Las organizaciones en Europa, Medio Oriente y África (EMEA) fueron alertadas de una intrusión por parte de una entidad externa en el 74 % de las investigaciones en 2022 en comparación con el 62 % en 2021. En la región de Asia Pacífico, las organizaciones fueron alertadas por socios externos en el 33 % de investigaciones
El estudio, basado en las investigaciones de Mandiant Consulting sobre la actividad de ataques dirigidos entre el 1 de enero y el 31 de diciembre de 2022, encontró un número creciente de nuevas familias de malware.
Caen los ataques de ransomware
El informe confirma investigaciones anteriores de TechRepublic que señalan caídas en los ataques de ransomware: en 2022, el 18 % de las investigaciones globales de Mandiant involucraron ransomware en comparación con el 23 % en 2021. Esto representa el porcentaje más pequeño de investigaciones de Mandiant relacionadas con ransomware antes de 2020, según la empresa. .
“Si bien no tenemos datos que sugieran que existe una sola causa para la ligera caída en los ataques relacionados con ransomware que observamos, ha habido múltiples cambios en el entorno operativo que probablemente contribuyeron a estas cifras más bajas”, dijo Sandra Joyce. , VP, Mandiant Intelligence en Google Cloud, en un comunicado.
Ella dijo que la interrupción de los ataques de ransomware por parte del gobierno y las fuerzas del orden obligó a los actores a reestructurar o desarrollar nuevas asociaciones.
BEACON prevalece entre las cepas de malware
La familia de malware más común identificada por Mandiant en las investigaciones del año pasado fue BEACON, identificada en el 15% de todas las intrusiones investigadas por Mandiant, que dijo que el malware ha sido implementado por grupos alineados con China, Rusia e Irán; grupos de amenazas financieras; y más de 700 UNC. Otros fueron SystemBC, Metasploit, Hivelocker, Qakbot, Alphv, LockBit y Basta (Figura A).
Figura A
El informe dice que de las 588 nuevas familias de malware que Mandiant rastreó el año pasado:
- Treinta y cuatro por ciento eran puertas traseras.
- El catorce por ciento eran descargadores.
- El once por ciento eran cuentagotas.
- El siete por ciento eran ransomware.
- El cinco por ciento eran lanzadores (Figura B).
Figura B
“Mandiant ha investigado varias intrusiones realizadas por nuevos adversarios que se están volviendo cada vez más inteligentes y efectivos”, dijo Charles Carmakal, CTO Mandiant Consulting en Google Cloud, y agregó que los actores usan datos de mercados clandestinos de ciberdelincuencia para ejecutar campañas de ingeniería social destinadas a moverse lateralmente. en redes empresariales.
El software aprovecha los vectores de ataque de plomo
Según el informe de Mandiant, por tercer año consecutivo, los exploits, como la inyección de SQL o las secuencias de comandos entre sitios, fueron el vector de ataque más común, utilizado por el 32 % de los atacantes, frente al 37 % de este tipo de intrusiones en 2021. segundo lugar, representó el 22% de las intrusiones frente al 12% en 2021.
Mandiant informó que en sus investigaciones vio evidencia de que en los ataques que involucraron al menos un exploit contra una vulnerabilidad, tuvieron éxito en el 36% de las investigaciones en 2022 en comparación con el 30% de las investigaciones de 2021. También informa que los dispositivos perimetrales expuestos a la naturaleza de Internet, como firewalls, soluciones de virtualización y dispositivos de red privada virtual, son objetivos deseables para los atacantes.
Las vulnerabilidades notables fueron Log4j1, que representó el 16 % de las investigaciones, mientras que la segunda y la tercera vulnerabilidad más notables identificadas estaban relacionadas con F5 Big-IP2 y VMware Workspace ONE Access and Identity Manager.
La mala higiene digital alimenta el robo de credenciales
Mandiant también informó un aumento en el robo y la compra de credenciales el año pasado, con un aumento en los incidentes en los que se robaron las credenciales fuera del entorno de la organización y luego se usaron contra la organización, posiblemente debido a la reutilización de contraseñas o al uso de cuentas personales en dispositivos corporativos.
Los actores de amenazas utilizaron credenciales robadas en el 14 % de los ataques el año pasado frente al 9 % en 2021 en investigaciones en las que se identificó el vector de infección inicial.
La firma también informó que el 40% de las intrusiones en 2022 involucraron la exfiltración de datos, un aumento en el uso de la técnica en los últimos años.
Las investigaciones de Mandiant descubrieron una mayor prevalencia tanto en el uso generalizado de malware de robo de información como en la compra de credenciales en 2022 en comparación con años anteriores. En muchos casos, las investigaciones identificaron que las credenciales probablemente se robaron fuera del entorno de la organización y luego se usaron contra la organización, posiblemente debido a la reutilización de contraseñas o al uso de cuentas personales en dispositivos corporativos (Figura C).
Figura C
El phishing es el segundo vector más común
El año pasado, el phishing representó el 22 % de las intrusiones en las que se identificó el vector de infección inicial, lo que lo convirtió en el segundo vector más utilizado, y un aumento del 12 % de las intrusiones en 2021.
Microsoft más atacado
El malware de Windows fue, con mucho, el exploit más común recientemente rastreado y observado, con el 92% de las familias de malware recientemente identificadas y el 93% del malware observado capaz de ejecutarse en Windows, según el informe. Otros hallazgos siguen:
- Las familias de malware efectivas en uno o más sistemas operativos prevalecieron más que el malware diseñado para centrarse en un solo sistema operativo.
- El malware efectivo en un solo sistema operativo tenía más probabilidades de apuntar al sistema operativo Windows.
- El malware efectivo en Linux disminuyó del 18 % en 2021 al 15 %
- Se informó por primera vez sobre malware diseñado para explotar el sistema operativo VMkernel creado por VMware.
En el último punto, Mandiant señaló que si bien el volumen es pequeño, los defensores deben prestar atención porque VMware se usa ampliamente.
“Estos tipos de sistemas operativos no tienen una capacidad significativa para el monitoreo de herramientas de detección y respuesta de puntos finales. Como resultado, el monitoreo y las investigaciones de la plataforma pueden ser un desafío para los defensores”, señaló el informe.
Los nuevos ciberdelincuentes utilizan métodos comunes con gran eficacia
Entre los grupos que se dirigieron a las principales corporaciones con ataques de alto perfil estaban Lapsus, que Mandiant rastrea como UNC3661, y otro Mandiant etiquetado como UNC3944. Ambos grupos no caracterizados, o UNCson dignos de mención porque, aunque carecían de la sofisticación de los actores alineados con la nación, fueron, sin embargo, muy efectivos.
“Estos incidentes subrayaron la amenaza que representan para las organizaciones los adversarios persistentes dispuestos a evitar las reglas tácitas de compromiso”, dijo Mandiant, que señaló que los actores utilizaron datos obtenidos de mercados clandestinos de ciberdelincuencia, ingeniosos esquemas de ingeniería social e incluso sobornos. Tampoco tuvieron reparos en intimidar y amenazar a sus objetivos, según la firma.
UNC3661 comenzó con objetivos sudamericanos, luego se globalizó, aparentemente empeñado en dañar la reputación mediante el robo del código fuente y la propiedad intelectual.
“Sus acciones durante las intrusiones hablaron ampliamente de un deseo de notoriedad, en lugar de optimizarse para aumentar las ganancias”, dijo la firma, y agregó que el grupo, después de exigir IP como código fuente, realizaría encuestas en los chats de Telegram para determinar a qué organización apuntar. próximo.
VER: Telegrama bazar popular para el ecosistema de amenazas de la web oscura
Mandiant informó que, a diferencia de Lapsus, UNC3944, que apareció en mayo pasado, es un grupo de amenazas con fines financieros que obtiene acceso utilizando credenciales robadas obtenidas de operaciones de phishing por SMS.
Importante: ninguno de los grupos se basa en vulnerabilidades de día cero, malware personalizado o nuevas herramientas. “Es importante que las organizaciones comprendan las posibles ramificaciones de esta nueva amenaza más abierta y ajusten tanto las protecciones como las expectativas en consecuencia”, dice el informe.
