Sophos: 2019, aumento de ataques dirigidos artesanalmente
El informe explora la evolución de las ciberamenazas de los últimos 12 meses, descubriendo las tendencias y expectativas sobre su impacto en el 2019.
Joe Levy, CTO de Sophos: ‘Las amenazas están evolucionando. Los ciberdelincuentes menos capacitados se ven obligados a abandonar el negocio, mientras que los más aptos intensifican su juego para sobrevivir, eventualmente nos quedaremos con menos adversarios, pero más inteligentes y fuertes. Estos cibercriminales son efectivamente un híbrido del atacante dirigido y el proveedor ordinario de software malicioso, utilizando técnicas de piratería manual, no para espionaje o sabotaje, sino para mantener su flujo de ingresos ilícitos’.
El Reporte de Amenazas de SophosLabs 2019 se enfoca en los siguientes comportamientos y ciberataques clave:
– Los ciberdelincuentes están recurriendo a ataques de ransomware dirigidos que son premeditados y están adueñándose de millones de dólares. En 2018 se vio el crecimiento de los ataques de ransomware dirigidos manualmente que hicieron ganar millones de dólares a los cibercriminales. Estos ataques son diferentes a los del estilo ‘spray and pray’ que se distribuyen automáticamente a través de una gran cantidad de correos electrónicos. El ransomware dirigido es más dañino que aquel enviado desde un bot, ya que los atacantes pueden encontrar y vigilar a las víctimas, pensar lateralmente, solucionar problemas para superar obstáculos y eliminar las copias de seguridad. Los expertos de Sophos creen que el éxito financiero de SamSam, BitPaymer y Dharma inspiran ataques de imitación y esperan que sucedan más en 2019.
– Los cibercriminales utilizan herramientas de administración de sistemas de Windows: El informe de este año descubrió un cambio en la ejecución de amenazas, los atacantes ahora emplean técnicas avanzadas de amenaza persistente -en inglés, Advancef Persistent Threat (APT)- para usar herramientas de TI disponibles como una ruta para avanzar a través de un sistema y completar su misión- ya sea robar información confidencial del servidor o soltar el ransomware:
* Convierten las herramientas de administración en herramientas de ciberataques: En un giro irónico, o Cyber Catch-22, los cibercriminales están utilizando herramientas de administración de TI de Windows esenciales o integradas, incluidos archivos Powershell y ejecutables de Windows Scripting, para desplegar ataques de malware a los usuarios.
* Los cibercriminales juegan dominó: Al encadenar una secuencia de diferentes tipos de scripts que ejecutan un ataque, los hackers pueden provocar una reacción en cadena antes de que los administradores de TI detecten que una amenaza está operando en la red, y una vez que entran es difícil detener su ejecución.
* Adoptan nuevos exploits de Office para atraer a las víctimas: Las vulnerabilidades de Office han sido durante mucho tiempo un vector de ataque, pero recientemente los cibercriminales han eliminado las antiguas a favor de las nuevas
* EternalBlue es una herramienta clave para los ataques de cryptojacking: Las actualizaciones de parches aparecieron hace más de un año para remediar esta vulnerabilidad de Windows, pero el exploit EternalBlue sigue siendo uno de los favoritos de los ciberdelincuentes. El acoplamiento de EternalBlue al software de criptominería hizo que un pasatiempo molesto se convirtiera en una carrera criminal potencialmente lucrativa. La distribución lateral en las redes corporativas permitió que el cryptojacker infectara rápidamente varias máquinas, incrementando los pagos al hacker con altos costos para el usuario.
* La continua amenaza de malware para dispositivos móviles e IoT: El impacto del software malicioso se extiende más allá de la infraestructura de la organización, se nota un rápido crecimiento en las amenazas a los móviles. Con el aumento en las aplicaciones ilegales de Android, en el 2018 se ha visto un mayor enfoque en el malware a través de los teléfonos móviles, tabletas y otros dispositivos IoT. A medida que los hogares y las empresas adoptan más dispositivos conectados a internet, los delincuentes crean nuevas formas de secuestrar los aparatos para usarlos como nodos en enormes ataques de botnets. En 2018, VPNFilter demostró el poder destructivo del malware armado que afecta a sistemas integrados y dispositivos en red que no tienen una interfaz de usuario obvia. Por otro lado, Mirai Aidra, Wifatch y Gafgyt lanzaron una serie de ataques automatizados que secuestraron dispositivos de red para usarlos como nodos en redes de bots, para participar en ataques distribuidos de denegación de servicio, extraer criptomonedas e infiltrarse en las redes.