El informe de Microsoft muestra una creciente sofisticación de las amenazas cibernéticas

 

Hoy, Microsoft publica un nuevo informe anual, llamado Informe de defensa digital , que cubre las tendencias de ciberseguridad del año pasado. Este informe deja en claro que los actores de amenazas han aumentado rápidamente en sofisticación durante el año pasado, utilizando técnicas que los hacen más difíciles de detectar y que amenazan incluso a los objetivos más inteligentes. Por ejemplo, los actores del estado-nación están participando en nuevas técnicas de reconocimiento que aumentan sus posibilidades de comprometer objetivos de alto valor, los grupos criminales que atacan a las empresas han trasladado su infraestructura a la nube para esconderse entre los servicios legítimos y los atacantes han desarrollado nuevas formas de rastrear Internet para sistemas vulnerables al ransomware.

Además de que los ataques se vuelven más sofisticados, los actores de amenazas muestran preferencias claras por ciertas técnicas, con cambios notables hacia la recolección de credenciales y el ransomware, así como un enfoque cada vez mayor en los dispositivos de Internet de las cosas (IoT). Entre las estadísticas más significativas sobre estas tendencias:

  • En 2019, bloqueamos más de 13 mil millones de correos electrónicos maliciosos y sospechosos, de los cuales más de mil millones eran URL configuradas con el propósito explícito de lanzar un ataque de credenciales de phishing.
  • El ransomware es la razón más común detrás de nuestros compromisos de respuesta a incidentes desde octubre de 2019 hasta julio de 2020.
  • Las técnicas de ataque más comunes utilizadas por los actores estatales en el último año son el reconocimiento, la recolección de credenciales, el malware y las vulnerabilidades de las redes privadas virtuales (VPN).
  • Las amenazas de IoT se expanden y evolucionan constantemente. La primera mitad de 2020 registró un aumento aproximado del 35% en el volumen total de ataques en comparación con la segunda mitad de 2019.

Dado el salto en la sofisticación de los ataques en el último año, es más importante que nunca que tomemos medidas para establecer nuevas reglas de camino para el ciberespacio: que todas las organizaciones, ya sean agencias gubernamentales o empresas, inviertan en personas y tecnología para ayudar a detener los ataques. ; y que la gente se concentre en lo básico, incluida la aplicación regular de actualizaciones de seguridad, políticas de respaldo integrales y, especialmente, habilitar la autenticación de múltiples factores (MFA). Nuestros datos muestran que habilitar MFA por sí solo habría evitado la gran mayoría de los ataques exitosos.

En esta publicación de blog, resumiré algunas de las ideas más importantes del informe de este año, incluidas sugerencias relacionadas para personas y empresas.

Los grupos criminales están evolucionando sus técnicas

Los grupos criminales son hábiles e implacables. Se han convertido en expertos en desarrollar sus técnicas para aumentar las tasas de éxito, ya sea experimentando con diferentes señuelos de phishing, ajustando los tipos de ataques que ejecutan o encontrando nuevas formas de ocultar su trabajo.

Durante los últimos meses, hemos visto a los ciberdelincuentes utilizar sus tácticas bien establecidas y su malware contra nuestra curiosidad humana y nuestra necesidad de información. Los atacantes son oportunistas y cambiarán los temas de los señuelos a diario para alinearse con los ciclos de noticias, como se ve en su uso de la pandemia COVID-19. Si bien el volumen general de malware ha sido relativamente constante a lo largo del tiempo, los adversarios utilizaron la preocupación mundial por COVID-19 para crear señuelos socialmente en torno a nuestra ansiedad colectiva y la avalancha de información asociada con la pandemia. En los últimos meses, el volumen de ataques de phishing con temática COVID-19 ha disminuido. Estas campañas se han utilizado para dirigirse ampliamente a los consumidores, así como para dirigirse específicamente a sectores industriales esenciales como la atención médica.

Encuentros totales COVD-19

En los últimos años, los ciberdelincuentes se centraron en los ataques de malware. Más recientemente, han cambiado su enfoque a los ataques de phishing (~ 70%) como un medio más directo para lograr su objetivo de recopilar las credenciales de las personas. Para engañar a las personas para que renuncien a sus credenciales, los atacantes suelen enviar correos electrónicos imitando a las mejores marcas. Según nuestra telemetría de Office 365, las principales marcas falsificadas utilizadas en estos ataques son Microsoft, UPS, Amazon, Apple y Zoom.

Además, estamos viendo campañas de ataque que se cambian o transforman rápidamente para evadir la detección. La transformación se utiliza en dominios de envío, direcciones de correo electrónico, plantillas de contenido y dominios de URL. El objetivo es aumentar la combinación de variaciones para que no se vean.

Los actores del estado-nación están cambiando sus objetivos

Los estados-nación han cambiado sus objetivos para alinearse con los objetivos políticos en evolución en los países donde se originan.

Microsoft observó a 16 actores estatales diferentes que se dirigían a los clientes involucrados en los esfuerzos de respuesta global de COVID-19 o usaban la crisis en señuelos temáticos para expandir sus tácticas de robo de credenciales y entrega de malware. Estos ataques con temática de COVID se dirigieron a importantes organizaciones gubernamentales de atención médica en un esfuerzo por realizar reconocimientos en sus redes o personas. También se apuntó a organizaciones académicas y comerciales involucradas en la investigación de vacunas.

En los últimos años ha habido un enfoque importante en las vulnerabilidades en la infraestructura crítica. Si bien debemos permanecer atentos y continuar aumentando la seguridad de la infraestructura crítica, y si bien estos objetivos seguirán siendo atractivos para los actores del estado-nación, en el último año dichos actores se han centrado principalmente en otros tipos de organizaciones. De hecho, el 90% de nuestras notificaciones de estado-nación en el último año han sido para organizaciones que no operan infraestructura crítica. Los objetivos comunes han incluido organizaciones no gubernamentales (ONG), grupos de defensa, organizaciones de derechos humanos y grupos de expertos centrados en políticas públicas, asuntos internacionales o seguridad. Esta tendencia puede sugerir que los actores del estado-nación han estado apuntando a aquellos involucrados en políticas públicas y geopolítica, especialmente aquellos que podrían ayudar a dar forma a las políticas gubernamentales oficiales.

Cada actor del estado-nación que rastreamos tiene sus propias técnicas preferidas y el informe detalla las preferidas por algunos de los grupos más activos.

Muestra de actores y actividades del Estado-nación

El ransomware sigue creciendo como una gran amenaza

El Departamento de Seguridad Nacional, el FBI y otros nos han advertido sobre el ransomware, especialmente su uso potencial para interrumpir las elecciones de 2020. Lo que hemos visto respalda las preocupaciones que han planteado.

Los archivos encriptados y perdidos y las notas de rescate amenazantes se han convertido en el principal temor de la mayoría de los equipos ejecutivos. Los patrones de ataque demuestran que los ciberdelincuentes saben cuándo habrá congelaciones de cambios, como las vacaciones, que afectarán la capacidad de una organización para realizar cambios (como parches) para fortalecer sus redes. Son conscientes de cuándo hay necesidades comerciales que harán que las organizaciones estén más dispuestas a pagar rescates que a incurrir en tiempo de inactividad, como durante los ciclos de facturación en las industrias de salud, finanzas y legal.

Los atacantes se han aprovechado de la crisis de COVID-19 para reducir su tiempo de permanencia dentro del sistema de la víctima - comprometiendo, exfiltrando datos y, en algunos casos, rescatando rápidamente - aparentemente creyendo que habría una mayor disposición a pagar como resultado del brote. En algunos casos, los ciberdelincuentes pasaron de la entrada inicial al rescate de toda la red en menos de 45 minutos.

Al mismo tiempo, también vemos que las bandas de ransomware operadas por humanos están realizando barridos masivos y de amplio alcance en Internet, buscando puntos de entrada vulnerables, mientras "depositan" el acceso, esperando un momento que sea ventajoso para su propósito.

Trabajar desde casa presenta nuevos desafíos

Todos sabemos que COVID-19 ha acelerado la tendencia del trabajo desde casa que ya estaba en marcha en 2019.

Las políticas de seguridad tradicionales dentro del perímetro de una organización se han vuelto mucho más difíciles de hacer cumplir en una red más amplia compuesta por redes domésticas y otras redes privadas y activos no administrados en la ruta de conectividad. A medida que las organizaciones continúan moviendo aplicaciones a la nube, vemos que los ciberdelincuentes aumentan los ataques distribuidos de denegación de servicio (DDoS) para interrumpir el acceso de los usuarios e incluso ocultar las infiltraciones más maliciosas y dañinas de los recursos de una organización.

También es importante abordar el elemento humano como fundamental para una fuerza laboral segura al analizar desafíos como las amenazas internas y la ingeniería social por parte de actores malintencionados. En una encuesta reciente realizada por Microsoft, el 73% de los CISO indicaron que su organización encontró fugas de datos confidenciales y derrames de datos en los últimos 12 meses, y que planean gastar más en tecnología de riesgo interno debido a la pandemia COVID-19.

Durante la primera mitad de 2020, vimos un aumento en los ataques basados ​​en la identidad que utilizan la fuerza bruta en las cuentas empresariales. Esta técnica de ataque utiliza adivinanzas sistemáticas, listas de contraseñas, credenciales descargadas de violaciones anteriores u otros métodos similares para autenticarse por la fuerza en un dispositivo o servicio. Dada la frecuencia con la que las contraseñas son adivinadas, suplantadas, robadas con malware o reutilizadas, es fundamental que las personas emparejen las contraseñas con alguna segunda forma de credencial sólida. Para las organizaciones, habilitar MFA es un llamado a la acción esencial.

Un enfoque comunitario de la ciberseguridad es fundamental

En Microsoft, utilizamos una combinación de tecnología, operaciones, acciones legales y políticas para interrumpir y disuadir la actividad maliciosa.

Como medida técnica, por ejemplo, estamos invirtiendo en inteligencia de agrupación de campañas sofisticada en Microsoft 365 para permitir que los equipos del centro de operaciones de seguridad (SOC) reconstruyan estas campañas cada vez más complejas a partir de sus fragmentos. También tratamos de hacer que sea más difícil para los delincuentes operar interrumpiendo sus actividades mediante acciones legales . Al tomar medidas proactivas para apoderarse de su infraestructura maliciosa, los malos actores pierden visibilidad, capacidad y acceso a una variedad de activos que antes estaban bajo su control, lo que los obliga a reconstruir. Desde 2010, nuestra Unidad de Delitos Digitales ha colaborado con las fuerzas del orden y otros socios en 22 interrupciones de malware, lo que resultó en más de 500 millones de dispositivos rescatados de los ciberdelincuentes.

Incluso con todos los recursos que dedicamos a la ciberseguridad, nuestra contribución será solo una pequeña parte de lo que se necesita para abordar el desafío. Requiere que los legisladores, la comunidad empresarial, las agencias gubernamentales y, en última instancia, las personas marquen una diferencia real, y solo podemos tener un impacto significativo a través de información compartida y asociaciones. Esta es una de las razones por las que lanzamos inicialmente el Informe de inteligencia de seguridad de Microsoft en 2005, y es una de las razones por las que hemos evolucionado ese informe en este nuevo Informe de defensa digital. Esperamos que esta contribución nos ayude a todos a trabajar mejor juntos para mejorar la seguridad del ecosistema digital.

Fuente: BlogMicrosoft

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS