Los actores maliciosos en Internet conocen el significado de servicio. En un informe publicado el martes sobre las amenazas digitales para el primer semestre de 2024, una empresa global de ciberseguridad con inteligencia artificial descubrió que muchas de las amenazas más frecuentes implementadas durante el período utilizaban con frecuencia herramientas de malware como servicio (MaaS).
El informe de Rastro oscuroBasándose en el análisis de datos de todas las implementaciones de clientes de la empresa, razonó que la creciente popularidad de MaaS se debe a los lucrativos ingresos basados en suscripciones de los ecosistemas MaaS, así como a la baja barrera de entrada y la alta demanda.
Al ofrecer malware empaquetado previamente y listo para usar, el mercado MaaS ha permitido que incluso atacantes inexpertos lleven a cabo ataques potencialmente disruptivos independientemente de su nivel de habilidad o capacidad técnica, agrega el informe.
El informe predijo que MaaS seguirá siendo una parte predominante del panorama de amenazas en el futuro previsible. Esta persistencia pone de relieve la naturaleza adaptativa de las cepas de MaaS, que pueden cambiar sus tácticas, técnicas y procedimientos (TTP) de una campaña a la siguiente y eludir las herramientas de seguridad tradicionales, señaló.
“Se espera que la sofisticación de los servicios de malware como servicio aumente debido a la demanda de herramientas de ataque más poderosas, lo que plantea desafíos para los profesionales de la ciberseguridad y requiere avances en las estrategias de defensa”, dijo Callie Guenther, gerente sénior de investigación de amenazas cibernéticas en Comienzo críticouna empresa nacional de servicios de ciberseguridad.
“Estas ofertas de MaaS introducirán vectores de ataque nuevos y adaptables, como esquemas avanzados de phishing y malware polimórfico que evoluciona continuamente para evadir la detección”, dijo a TechNewsWorld. “El auge del malware como servicio representa un desafío transformador en el mundo de la ciberseguridad. Ha democratizado el cibercrimen y ha ampliado el alcance de las amenazas”.
El malware heredado prospera en los ataques modernos
El informe de Darktrace señaló que muchas herramientas MaaS, como Amadey y Raspberry Robin, han utilizado varias familias de malware de años anteriores. Esto demuestra que, si bien las cepas de MaaS suelen adaptar sus TTP de una campaña a la siguiente, muchas cepas permanecen inalteradas pero siguen logrando éxito. Agregó que algunos equipos y organizaciones de seguridad aún no están a la altura de la defensa de sus entornos.
“El éxito continuo de las antiguas cepas de malware indica que muchas organizaciones aún tienen vulnerabilidades significativas en sus entornos de seguridad”, sostuvo Frank Downs, director sénior de servicios proactivos en BlueVoyantuna empresa de ciberseguridad empresarial de la ciudad de Nueva York.
“Esto podría deberse a sistemas obsoletos, software sin parches o falta de medidas de seguridad integrales”, dijo a TechNewsWorld. “La persistencia de estas amenazas más antiguas sugiere que algunas organizaciones pueden no estar invirtiendo adecuadamente en defensas de ciberseguridad o no están siguiendo las mejores prácticas para el mantenimiento y las actualizaciones del sistema”.
Roger Grimes, un evangelista de la defensa de Saber ser 4un proveedor de capacitación sobre concientización sobre seguridad en Clearwater, Florida, agregó que la mayoría del software de detección de anti-malware no es tan bueno como afirman sus proveedores.
“Las organizaciones deben saber que no pueden confiar en que la detección de malware sea siquiera 100% efectiva, y deben responder y defenderse en consecuencia”, dijo a TechNewsWorld. “El software antimalware por sí solo no salvará a la mayoría de las organizaciones. Todas las organizaciones necesitan múltiples defensas en múltiples capas para detectar y defenderse mejor”.
Desperados digitales de doble inmersión
Otro hallazgo del informe fue que la “doble extorsión” se estaba volviendo más común entre las variedades de ransomware. Con la doble extorsión, los actores maliciosos no solo cifran los datos de su objetivo, sino que también extraen archivos confidenciales con la amenaza de publicarlos si no se paga el rescate.
“La doble extorsión comenzó en noviembre de 2019 y alcanzó niveles superiores al 90 % de todo el ransomware que utiliza esta estrategia en pocos años”, dijo Grimes.
«Es popular porque incluso las víctimas con un respaldo realmente bueno no pueden negar la totalidad del riesgo», continuó.
“El porcentaje de víctimas que pagan rescates ha disminuido significativamente con el tiempo, pero los que pagan pagan mucho más, muchas veces para proteger los datos confidenciales robados de que se divulguen públicamente o se utilicen en su contra en un futuro ataque por parte del mismo atacante”, dijo.
Matthew Corwin, director general de Soluciones de guíauna firma global de seguridad, cumplimiento e investigaciones, agregó que la amenaza de una doble extorsión hace que la necesidad de un programa de prevención de pérdida de datos sea aún más crítica para las organizaciones. “La implementación de DLP para todos los puntos finales y otros activos en la nube debe incluir la clasificación de datos, la aplicación de políticas, el bloqueo en tiempo real, la cuarentena y las alertas”, dijo a TechNewsWorld.
Atacando el borde
Darktrace también informó que los actores maliciosos continuaron ejecutando durante los primeros seis meses del año la explotación masiva de vulnerabilidades en dispositivos de infraestructura de borde, como Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server y Redes de Palo Alto PAN-OS.
Los ataques iniciales a estos sistemas pueden actuar como un trampolín para que actores maliciosos realicen otras actividades, como creación de herramientas, reconocimiento de red y movimiento lateral, explicó el informe.
“Al comprometer los dispositivos periféricos, los atacantes pueden obtener un punto de apoyo estratégico en la red, lo que les permite monitorear e interceptar el tráfico de datos a medida que pasa por estos puntos”, explicó Downs.
“Esto significa que un dispositivo perimetral cuidadosamente explotado puede proporcionar a los atacantes acceso a una gran cantidad de información corporativa, incluidos datos confidenciales, sin la necesidad de comprometer varios sistemas internos”, continuó. “Esto no solo hace que el ataque sea más eficiente, sino que también aumenta el impacto potencial, ya que los dispositivos perimetrales a menudo manejan flujos de datos significativos hacia y desde la red”.
Morgan Wright, asesor jefe de seguridad de Centinela Unouna empresa de protección de puntos finales de Mountain View, California, agregó: “Es muy probable que muchas organizaciones estén atrasadas en la aplicación de parches a dispositivos vulnerables, como firewalls, VPN o puertas de enlace de correo electrónico”.
“No sirve de nada cuando hay numerosas y críticas vulnerabilidades”, dijo a TechNewsWorld. “Para los atacantes, es el equivalente digital a pescar en un barril”.
Grimes, de KnowBe, coincidió en que el mantenimiento de los dispositivos de infraestructura de borde suele ser laxo. “Lamentablemente, los dispositivos de borde han estado durante décadas entre los dispositivos y el software menos actualizados de nuestros entornos”, afirmó. “La mayoría de las empresas de TI dedican la mayor parte de su esfuerzo de actualización a servidores y estaciones de trabajo. Los atacantes examinan y explotan los dispositivos de borde porque es menos probable que se actualicen y, a menudo, contienen credenciales administrativas compartidas”.
Ejecución final de DMARC
Después de analizar 17,8 millones de correos electrónicos, los investigadores de Darktrace también descubrieron que el 62% podía eludir los controles de verificación DMARC.
El DMARC está diseñado para verificar que un mensaje de correo electrónico proviene del dominio del que dice provenir, pero tiene limitaciones. Los estafadores pueden crear dominios con nombres similares a una marca conocida y aplicarles el DMARC. “Por lo tanto, siempre que puedan pasar desapercibidos a las víctimas el dominio falso que se parece al suyo, sus correos electrónicos superarán los controles del DMARC”, explicó Grimes.
“Las estadísticas alarmantes del último Informe de amenazas semestral de Darktrace resaltan la necesidad de que las organizaciones adopten un enfoque de múltiples capas para la seguridad del correo electrónico, incorporando detección avanzada de anomalías impulsada por IA y análisis de comportamiento para complementar las medidas de seguridad tradicionales”, agregó Stephen Kowski, director de tecnología de campo de BarraSiguienteuna empresa de seguridad informática y de redes, en Pleasanton, California.
“Esta estrategia holística puede ayudar a identificar y mitigar ataques de phishing sofisticados que evaden DMARC y otras defensas convencionales”, dijo a TechNewsWorld. “Al monitorear y adaptarse continuamente a los patrones de amenazas en evolución, las organizaciones pueden mejorar significativamente su postura de seguridad del correo electrónico”.
Dror Liwer, cofundador de Corouna empresa de ciberseguridad basada en la nube con sede en Tel Aviv, Israel, sostiene que la mayoría de los hallazgos del informe apuntan a la misma causa. Citando un informe publicado por Coro a principios de este año, señaló que el 73% de los equipos de seguridad admiten pasar por alto o ignorar alertas críticas.
“Demasiadas herramientas dispares, cada una de las cuales requiere mantenimiento, actualizaciones periódicas y monitoreo, llevan a los equipos de seguridad a ocuparse de la administración en lugar de la protección”, dijo a TechNewsWorld.
Sin embargo, Wright sugirió que los hallazgos podrían indicar una falla más grande en la industria. “Con todo el dinero que se gasta en ciberseguridad y las amenazas que siguen proliferando, surge la pregunta: ¿estamos gastando suficiente dinero en ciberseguridad o simplemente lo estamos gastando en los lugares equivocados?”, preguntó.
GIPHY App Key not set. Please check settings