El informe de Microsoft muestra una creciente sofisticación de las amenazas cibernéticas

 

Hoy, Microsoft publica un nuevo informe anual, llamado Informe de defensa digital , que cubre las tendencias de ciberseguridad del año pasado. Este informe deja en claro que los actores de amenazas han aumentado rápidamente en sofisticación durante el año pasado, utilizando técnicas que los hacen más difíciles de detectar y que amenazan incluso a los objetivos más inteligentes. Por ejemplo, los actores del estado-nación están participando en nuevas técnicas de reconocimiento que aumentan sus posibilidades de comprometer objetivos de alto valor, los grupos criminales que atacan a las empresas han trasladado su infraestructura a la nube para esconderse entre los servicios legítimos y los atacantes han desarrollado nuevas formas de rastrear Internet para sistemas vulnerables al ransomware.

Además de que los ataques se vuelven más sofisticados, los actores de amenazas muestran preferencias claras por ciertas técnicas, con cambios notables hacia la recolección de credenciales y el ransomware, así como un enfoque cada vez mayor en los dispositivos de Internet de las cosas (IoT). Entre las estadísticas más significativas sobre estas tendencias:

  • En 2019, bloqueamos más de 13 mil millones de correos electrónicos maliciosos y sospechosos, de los cuales más de mil millones eran URL configuradas con el propósito explícito de lanzar un ataque de credenciales de phishing.
  • El ransomware es la razón más común detrás de nuestros compromisos de respuesta a incidentes desde octubre de 2019 hasta julio de 2020.
  • Las técnicas de ataque más comunes utilizadas por los actores estatales en el último año son el reconocimiento, la recolección de credenciales, el malware y las vulnerabilidades de las redes privadas virtuales (VPN).
  • Las amenazas de IoT se expanden y evolucionan constantemente. La primera mitad de 2020 registró un aumento aproximado del 35% en el volumen total de ataques en comparación con la segunda mitad de 2019.

Dado el salto en la sofisticación de los ataques en el último año, es más importante que nunca que tomemos medidas para establecer nuevas reglas de camino para el ciberespacio: que todas las organizaciones, ya sean agencias gubernamentales o empresas, inviertan en personas y tecnología para ayudar a detener los ataques. ; y que la gente se concentre en lo básico, incluida la aplicación regular de actualizaciones de seguridad, políticas de respaldo integrales y, especialmente, habilitar la autenticación de múltiples factores (MFA). Nuestros datos muestran que habilitar MFA por sí solo habría evitado la gran mayoría de los ataques exitosos.

En esta publicación de blog, resumiré algunas de las ideas más importantes del informe de este año, incluidas sugerencias relacionadas para personas y empresas.

Los grupos criminales están evolucionando sus técnicas

Los grupos criminales son hábiles e implacables. Se han convertido en expertos en desarrollar sus técnicas para aumentar las tasas de éxito, ya sea experimentando con diferentes señuelos de phishing, ajustando los tipos de ataques que ejecutan o encontrando nuevas formas de ocultar su trabajo.

Durante los últimos meses, hemos visto a los ciberdelincuentes utilizar sus tácticas bien establecidas y su malware contra nuestra curiosidad humana y nuestra necesidad de información. Los atacantes son oportunistas y cambiarán los temas de los señuelos a diario para alinearse con los ciclos de noticias, como se ve en su uso de la pandemia COVID-19. Si bien el volumen general de malware ha sido relativamente constante a lo largo del tiempo, los adversarios utilizaron la preocupación mundial por COVID-19 para crear señuelos socialmente en torno a nuestra ansiedad colectiva y la avalancha de información asociada con la pandemia. En los últimos meses, el volumen de ataques de phishing con temática COVID-19 ha disminuido. Estas campañas se han utilizado para dirigirse ampliamente a los consumidores, así como para dirigirse específicamente a sectores industriales esenciales como la atención médica.

Encuentros totales COVD-19

En los últimos años, los ciberdelincuentes se centraron en los ataques de malware. Más recientemente, han cambiado su enfoque a los ataques de phishing (~ 70%) como un medio más directo para lograr su objetivo de recopilar las credenciales de las personas. Para engañar a las personas para que renuncien a sus credenciales, los atacantes suelen enviar correos electrónicos imitando a las mejores marcas. Según nuestra telemetría de Office 365, las principales marcas falsificadas utilizadas en estos ataques son Microsoft, UPS, Amazon, Apple y Zoom.

Además, estamos viendo campañas de ataque que se cambian o transforman rápidamente para evadir la detección. La transformación se utiliza en dominios de envío, direcciones de correo electrónico, plantillas de contenido y dominios de URL. El objetivo es aumentar la combinación de variaciones para que no se vean.

Los actores del estado-nación están cambiando sus objetivos

Los estados-nación han cambiado sus objetivos para alinearse con los objetivos políticos en evolución en los países donde se originan.

Microsoft observó a 16 actores estatales diferentes que se dirigían a los clientes involucrados en los esfuerzos de respuesta global de COVID-19 o usaban la crisis en señuelos temáticos para expandir sus tácticas de robo de credenciales y entrega de malware. Estos ataques con temática de COVID se dirigieron a importantes organizaciones gubernamentales de atención médica en un esfuerzo por realizar reconocimientos en sus redes o personas. También se apuntó a organizaciones académicas y comerciales involucradas en la investigación de vacunas.

En los últimos años ha habido un enfoque importante en las vulnerabilidades en la infraestructura crítica. Si bien debemos permanecer atentos y continuar aumentando la seguridad de la infraestructura crítica, y si bien estos objetivos seguirán siendo atractivos para los actores del estado-nación, en el último año dichos actores se han centrado principalmente en otros tipos de organizaciones. De hecho, el 90% de nuestras notificaciones de estado-nación en el último año han sido para organizaciones que no operan infraestructura crítica. Los objetivos comunes han incluido organizaciones no gubernamentales (ONG), grupos de defensa, organizaciones de derechos humanos y grupos de expertos centrados en políticas públicas, asuntos internacionales o seguridad. Esta tendencia puede sugerir que los actores del estado-nación han estado apuntando a aquellos involucrados en políticas públicas y geopolítica, especialmente aquellos que podrían ayudar a dar forma a las políticas gubernamentales oficiales.

Cada actor del estado-nación que rastreamos tiene sus propias técnicas preferidas y el informe detalla las preferidas por algunos de los grupos más activos.

Muestra de actores y actividades del Estado-nación

El ransomware sigue creciendo como una gran amenaza

El Departamento de Seguridad Nacional, el FBI y otros nos han advertido sobre el ransomware, especialmente su uso potencial para interrumpir las elecciones de 2020. Lo que hemos visto respalda las preocupaciones que han planteado.

Los archivos encriptados y perdidos y las notas de rescate amenazantes se han convertido en el principal temor de la mayoría de los equipos ejecutivos. Los patrones de ataque demuestran que los ciberdelincuentes saben cuándo habrá congelaciones de cambios, como las vacaciones, que afectarán la capacidad de una organización para realizar cambios (como parches) para fortalecer sus redes. Son conscientes de cuándo hay necesidades comerciales que harán que las organizaciones estén más dispuestas a pagar rescates que a incurrir en tiempo de inactividad, como durante los ciclos de facturación en las industrias de salud, finanzas y legal.

Los atacantes se han aprovechado de la crisis de COVID-19 para reducir su tiempo de permanencia dentro del sistema de la víctima - comprometiendo, exfiltrando datos y, en algunos casos, rescatando rápidamente - aparentemente creyendo que habría una mayor disposición a pagar como resultado del brote. En algunos casos, los ciberdelincuentes pasaron de la entrada inicial al rescate de toda la red en menos de 45 minutos.

Al mismo tiempo, también vemos que las bandas de ransomware operadas por humanos están realizando barridos masivos y de amplio alcance en Internet, buscando puntos de entrada vulnerables, mientras "depositan" el acceso, esperando un momento que sea ventajoso para su propósito.

Trabajar desde casa presenta nuevos desafíos

Todos sabemos que COVID-19 ha acelerado la tendencia del trabajo desde casa que ya estaba en marcha en 2019.

Las políticas de seguridad tradicionales dentro del perímetro de una organización se han vuelto mucho más difíciles de hacer cumplir en una red más amplia compuesta por redes domésticas y otras redes privadas y activos no administrados en la ruta de conectividad. A medida que las organizaciones continúan moviendo aplicaciones a la nube, vemos que los ciberdelincuentes aumentan los ataques distribuidos de denegación de servicio (DDoS) para interrumpir el acceso de los usuarios e incluso ocultar las infiltraciones más maliciosas y dañinas de los recursos de una organización.

También es importante abordar el elemento humano como fundamental para una fuerza laboral segura al analizar desafíos como las amenazas internas y la ingeniería social por parte de actores malintencionados. En una encuesta reciente realizada por Microsoft, el 73% de los CISO indicaron que su organización encontró fugas de datos confidenciales y derrames de datos en los últimos 12 meses, y que planean gastar más en tecnología de riesgo interno debido a la pandemia COVID-19.

Durante la primera mitad de 2020, vimos un aumento en los ataques basados ​​en la identidad que utilizan la fuerza bruta en las cuentas empresariales. Esta técnica de ataque utiliza adivinanzas sistemáticas, listas de contraseñas, credenciales descargadas de violaciones anteriores u otros métodos similares para autenticarse por la fuerza en un dispositivo o servicio. Dada la frecuencia con la que las contraseñas son adivinadas, suplantadas, robadas con malware o reutilizadas, es fundamental que las personas emparejen las contraseñas con alguna segunda forma de credencial sólida. Para las organizaciones, habilitar MFA es un llamado a la acción esencial.

Un enfoque comunitario de la ciberseguridad es fundamental

En Microsoft, utilizamos una combinación de tecnología, operaciones, acciones legales y políticas para interrumpir y disuadir la actividad maliciosa.

Como medida técnica, por ejemplo, estamos invirtiendo en inteligencia de agrupación de campañas sofisticada en Microsoft 365 para permitir que los equipos del centro de operaciones de seguridad (SOC) reconstruyan estas campañas cada vez más complejas a partir de sus fragmentos. También tratamos de hacer que sea más difícil para los delincuentes operar interrumpiendo sus actividades mediante acciones legales . Al tomar medidas proactivas para apoderarse de su infraestructura maliciosa, los malos actores pierden visibilidad, capacidad y acceso a una variedad de activos que antes estaban bajo su control, lo que los obliga a reconstruir. Desde 2010, nuestra Unidad de Delitos Digitales ha colaborado con las fuerzas del orden y otros socios en 22 interrupciones de malware, lo que resultó en más de 500 millones de dispositivos rescatados de los ciberdelincuentes.

Incluso con todos los recursos que dedicamos a la ciberseguridad, nuestra contribución será solo una pequeña parte de lo que se necesita para abordar el desafío. Requiere que los legisladores, la comunidad empresarial, las agencias gubernamentales y, en última instancia, las personas marquen una diferencia real, y solo podemos tener un impacto significativo a través de información compartida y asociaciones. Esta es una de las razones por las que lanzamos inicialmente el Informe de inteligencia de seguridad de Microsoft en 2005, y es una de las razones por las que hemos evolucionado ese informe en este nuevo Informe de defensa digital. Esperamos que esta contribución nos ayude a todos a trabajar mejor juntos para mejorar la seguridad del ecosistema digital.

Fuente: BlogMicrosoft

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más