Muchas organizaciones consideraron los riesgos pero no anticiparon el resultado.
Muchas organizaciones consideraron los riesgos pero no anticiparon el resultado.
El delito cibernético en 2021 alcanzó nuevas profundidades y costó a las empresas millones más que en 2020. Las amenazas conocidas aumentaron y surgieron nuevos ataques combinados más sofisticados. Las condiciones de trabajo remoto contribuyeron, al menos en parte, a la evolución de los ciberataques a lo largo del año.
Las empresas adoptaron rápidamente nuevas tecnologías y eligieron omitir los rigurosos procesos de investigación. Los empleados utilizaron una combinación de dispositivos personales y de propiedad de la empresa de sus redes domésticas, lo que aumentó significativamente la cantidad de dispositivos que se conectan a los recursos internos de la empresa.
Muchas organizaciones consideraron los riesgos pero no anticiparon el resultado.
Un estudio del Reino Unido de 2021 sobre entornos de trabajo híbridos que examinó el impacto en la seguridad de la red expuso una tendencia alarmante entre los trabajadores. La transición apresurada al trabajo remoto, según los líderes de seguridad de TI, estuvo plagada de incumplimiento: el 31 % dijo que los empleados ignoraron las medidas de seguridad y el 28 % de los líderes de seguridad de TI informaron que los empleados habían desactivado o eludido las medidas de seguridad de alguna manera.
Las malas prácticas de seguridad del trabajo desde el hogar fueron un factor que contribuyó, pero no fueron los únicos responsables de abrir las puertas a los ciberdelincuentes. Los equipos de seguridad de TI con poco personal abordaron graves vulnerabilidades de software para defenderse de una lista creciente de amenazas cada vez más sofisticadas.
Error de Apache Log4j
Los actores de amenazas atacaron activamente la falla de Log4j, que estaba presente en dispositivos y sistemas personales y comerciales. El uso generalizado de la utilidad de registro Log4j para Apache significaba que cientos de millones de dispositivos corrían el riesgo de tomar el control completo del sistema hasta que se pudiera aplicar un parche de seguridad urgente.
Ataque de fuerza bruta a las credenciales del escritorio remoto
Un grupo de ransomware lanzó un ataque de fuerza bruta contra las credenciales del Protocolo de escritorio remoto (RDP) de Microsoft Windows para obtener acceso a las redes de las víctimas e implementar el ransomware Ranzy Locker . Las vulnerabilidades conocidas de Microsoft Exchange Server fueron objeto de campañas de phishing en algunos casos. El resultado final fue el mismo: los delincuentes encontraron y copiaron archivos que contenían información personal y financiera antes de cifrarlos.
Las tácticas de doble extorsión del ransomware Ranzy Locker también han evolucionado para incluir una nueva demanda. Una vez que se paga el rescate por la clave de descifrado, los delincuentes amenazan con filtrar los datos robados en línea a menos que se les pague una segunda suma. Ranzy Locker es particularmente problemático porque es una herramienta de ransomware como servicio (RaaS) que cualquier grupo criminal dispuesto a pagar puede arrendar. Los ataques recientes fueron tan graves que el FBI emitió una advertencia rápida que detalla las actividades de las pandillas de ransomware y los indicadores de compromiso.
Las pandillas de ransomware suben las apuestas
En un intento por obligar a más víctimas a pagar el rescate, la pandilla de ransomware RagnarLocker empleó una nueva táctica. El grupo anunció que publicaría los datos robados de las víctimas inmediatamente si la policía estuviera involucrada o si las víctimas hubieran recibido ayuda profesional para mitigar la situación. Esta red criminal es conocida por utilizar el reconocimiento para encontrar archivos y dispositivos de almacenamiento de gran valor dentro de las redes de las víctimas antes de implementar manualmente ransomware para cifrar o eliminar los datos.
En 2021, la pandilla de ransomware Conti adquirió millones de dólares robando terabytes de datos de alto perfil. Los servicios de salud de Irlanda se desconectaron como medida de precaución y los pacientes fueron desviados después de ser atacados por el grupo. Según se informa, el ransomware cifró el 80 % del entorno de HSE , incluidos los registros de salud electrónicos (EHR) de los pacientes. Conti exigió 20 millones de dólares a cambio de la clave de descifrado y amenazó con publicar 750 GB de datos privados si no se cumplía con el rescate. El grupo criminal regaló un descifrador para los datos y prometió vender 700 GB de datos ya que nunca se pagó el rescate. El ataque tuvo efectos tanto inmediatos como a largo plazo en el sistema hospitalario, y los esfuerzos de recuperación duraron cuatro meses. El sistema de salud irlandés ha gastado $ 48 millones en recuperación.esfuerzos, con un costo total proyectado para llegar a $ 100 millones.
Compromiso de correo electrónico empresarial (BEC) en varias etapas a través de reuniones de video y falsificaciones profundas
Los delincuentes han incorporado reuniones virtuales en su flujo de trabajo. Utilizan plataformas de reuniones virtuales para escuchar las reuniones de la empresa, recopilar información sobre las actividades comerciales diarias y engañar a los empleados para que completen transferencias bancarias a cuentas fraudulentas. El Centro de Quejas de Delitos en Internet (IC3) del FBI informó tres tácticas comunes:
●Cuentas secuestradas para reconocimiento: los atacantes comprometen las cuentas de correo electrónico de los empleados para unirse a reuniones virtuales y recopilar información sobre las operaciones comerciales de la empresa.
●Correos electrónicos falsificados para transferencias bancarias fraudulentas: los ciberdelincuentes se hacen pasar por ejecutivos de alto rango y cuentas de nivel de director, y envían correos electrónicos falsos para solicitar transferencias bancarias. El impostor envía correos electrónicos a los empleados, alegando estar ocupado con una reunión virtual y, por lo tanto, incapaz de manejar la transferencia por sí mismo.
●Suplantación de nivel C con audio falso profundo: después de comprometer la cuenta de correo electrónico de un ejecutivo o director de alto rango (CEO o CFO), los delincuentes invitan a los empleados a una reunión virtual. El impostor usa una imagen fija del CEO sin audio o usa un audio falso profundo, afirmando que el video o el audio no funcionan. Luego, los atacantes utilizan la función de chat en vivo de la plataforma de reunión virtual para solicitar una transferencia bancaria. Algunos delincuentes usan una cuenta de correo electrónico de alto nivel comprometida para enviar un mensaje de seguimiento después de la videoconferencia.
Lo que nos espera
Los ataques cibernéticos continuarán causando destrucción, interrupción y daños financieros. Organizaciones de todos los tamaños se vieron atrapadas por sofisticados ataques cibernéticos en 2021, y la tendencia continuará. Los ataques incluirán tácticas familiares junto con nuevos métodos combinados para obtener el máximo daño y ganancias financieras.
Suplantación de identidad
El phishing continuará como un vector de ataque principal en todas las industrias, y estas tácticas se adaptarán para evitar la detección y así llegar a más víctimas. Un nuevo método de ataque ahora usa códigos QR maliciosos para evadir las herramientas de seguridad.
Los ataques de phishing en varias etapas también aumentarán. Los mensajes de texto, los mensajes directos de las redes sociales y las herramientas de colaboración en equipo (por ejemplo, Microsoft Teams, Slack o Discord) seguirán siendo populares para los ataques de phishing utilizados para engañar a las víctimas para que compartan las credenciales de inicio de sesión y los códigos de verificación de autenticación de dos factores (2FA) .
La cadena de suministro ataca de dos maneras
Se espera que aumenten los ataques a la cadena de suministro de software, similares al ataque de SolarWinds de 2020 . Los actores de amenazas se dirigen a sistemas confiables para acceder al código fuente y distribuir malware. Los proveedores de servicios administrados y los servicios de automatización/control remoto siguen siendo objetivos de alto valor, ya que mantienen el acceso a los sistemas críticos de los clientes.
También se espera que aumenten los ataques a la cadena de suministro física. Estos ataques han afectado directamente el suministro de alimentos. El procesador de carne brasileño JBS SA sufrió un ciberataque en 2021 que lo llevó a cerrar sus instalaciones en nueve estados de EE. UU.
Ransomware en todas partes
El ransomware es rentable y se espera que siga siendo un método de ataque popular. En 2021, las víctimas sufrieron pérdidas récord de 49,2 millones de dólares por ataques de ransomware. A medida que los grupos delictivos explotan las vulnerabilidades del software para obtener acceso a sistemas importantes para organizaciones de todos los tamaños, las operaciones del mundo real se detendrán, lo que obligará a las víctimas a pagar, como ocurrió con el ataque de ransomware contra el proveedor de servicios gestionados Kaseya .
El sector de la salud es particularmente vulnerable a los ataques de ransomware porque se usan y almacenan grandes cantidades de datos personales de manera rutinaria. Los proveedores también tienden a usar dispositivos más antiguos y carecen de personal de TI/seguridad dedicado para la administración de la red. Por ejemplo, el grupo de ransomware Hive robó información de identificación personal (PII) y 400 GB de datos de un servidor de archivos de Partnership HealthPlan of California. Ataques similares continuarán en este entorno rico en objetivos.
Linux y MacOS en la mira
El malware basado en Linux va en aumento y Linux sigue siendo un objetivo popular para ransomware, troyanos, rootkits y criptomineros. Los autores de malware también están llegando a más máquinas mediante la migración de malware de Windows para que se ejecute en sistemas Linux.
Además, Apple MacOS ha sido atacado con malware , algunos de los cuales han sido portados desde Windows para ejecutarse en MacOS. El malware específico de MacOS también se ha dirigido a las vulnerabilidades del sistema operativo. Se espera que el malware para MacOS aumente debido a su creciente popularidad entre los desarrolladores de malware.
Botnets para robar criptomonedas y lanzar ataques DDoS
Los ataques de botnet aumentaron un 41 % solo en la primera mitad de 2021. Al mando de 1,6 millones de dispositivos, la red de bots Pink, supuestamente la red de bots más grande observada en la naturaleza , se utiliza para lanzar ataques distribuidos de denegación de servicio (DDoS) e inyectar anuncios no deseados.
La botnet MyKings se utiliza para robar cantidades masivas de criptomonedas, ya sea mediante la instalación de un criptominero malicioso o un troyano ladrón de portapapeles en las computadoras de las víctimas. Según los informes, el grupo ha robado al menos $ 24,7 millones.
La botnet Mirai ha resurgido . Los actores de amenazas están explotando activamente una vulnerabilidad de Java para instalar el malware Mirai en servidores sin parches. Una botnet Mirai se usa para una variedad de ataques maliciosos, incluidos ransomware, DDoS y criptomineros maliciosos.
Troyanos y gusanos
Los troyanos y gusanos seguirán apuntando a Linux y Windows. En 2021, el malware HolesWarm aprovechó las vulnerabilidades de seguridad en ambos sistemas operativos. Más de 1000 servidores se vieron afectados, en particular aquellos en entornos de nube.
El troyano modular Trickbot sigue muy activo. Los investigadores de Microsoft descubrieron recientemente cómo el troyano Trickbot utiliza dispositivos de Internet de las cosas (IoT) en su infraestructura de comando y control para atacar los enrutadores MikroTik. Los atacantes de Trickbot comprometieron dispositivos usando contraseñas predeterminadas conocidas, usando ataques de fuerza bruta para descubrir a otros y explotando una falla en el sistema operativo del enrutador.
Ataques de API
Las interfaces de programación de aplicaciones (API) son cada vez más vulnerables a los ataques, y las empresas dependen más que nunca de las API. Los atacantes utilizan las API de formas no intencionadas para encontrar vulnerabilidades en los procesos de almacenamiento y recuperación de datos (ataques de lógica empresarial).
El módulo de conducción autónoma de Tesla se infiltró a través de una falla en una herramienta de registro que monitorea el consumo de energía y el historial de ubicación. El hacker usó la API del módulo para bloquear y desbloquear puertas y ventanas de automóviles, así como para permitir la conducción sin llave. Los actores de amenazas continuarán atacando las API para recopilar datos personales, robar dinero y causar estragos.
Las violaciones de datos abundan
Los informes de violación de datos aumentaron un 68 % en 2021 en comparación con el año anterior, y se espera que la tendencia continúe. Los entornos de TI complejos llenos de activos no rastreados representan una amenaza importante para la seguridad de los datos de una organización, ya que esto ofrece a los atacantes múltiples puntos de entrada. La legislación como el Reglamento general de protección de datos de la UE puede ayudar a fomentar una mejor higiene de los datos y la seguridad de los sistemas, pero muchas organizaciones luchan por rastrear las ubicaciones y los métodos de almacenamiento de datos.
Adquisición de criptomonedas
Continuarán los ataques a los intercambios de criptomonedas y a los propietarios de divisas. Los delitos relacionados con criptomonedas aumentaron significativamente en 2021. Las billeteras de criptomonedas ilícitas recibieron un récord de $15 mil millones en pagos en comparación con $7,9 mil millones el año anterior. El uso general ha aumentado un 567 % en comparación con el año anterior. La adopción de criptomonedas para uso legítimo y su valor creciente las convierte en una forma de pago atractiva. También se espera que aumenten los esquemas de lavado de dinero , las estafas y los robos de billeteras.
Planificación para un futuro incierto
Un estudio de 2021 encontró que la mayoría de los ataques cibernéticos tenían una motivación financiera , como ha sido año tras año. Los datos, sus datos, son un bien muy valorado, no por el precio que tienen cuando se venden en la dark web, sino por lo importantes que son para usted.
Proteger sus datos contra compromisos requiere un enfoque proactivo para mitigar los efectos de un ataque a sus sistemas y potencialmente salvar su negocio de la ruina. La copia de seguridad de datos es buena, pero los ataques cibernéticos modernos apuntan a las copias de seguridad cifrando o eliminando los datos. Un plan confiable de copia de seguridad y recuperación de datos garantizará que las copias de seguridad se almacenen en una ubicación separada del resto de la red. La implementación de una variedad de herramientas dedicadas de múltiples proveedores puede satisfacer las necesidades de su negocio para cada herramienta, pero trabajar con múltiples proveedores puede generar una complejidad de TI innecesaria en su entorno.
La defensa perimetral por sí sola no es suficiente para proteger contra muchos ciberataques modernos. Acronis Cyber Protect utiliza algoritmos de aprendizaje automático para bloquear proactivamente los ataques de ransomware. El motor de detección basado en el comportamiento de Acronis examina los comportamientos actuales y bloquea las amenazas para que no se propaguen por la red corporativa, independientemente del tipo de malware. Ofreciendo protección multicapa de última generación contra vulnerabilidades de día cero, la evaluación de vulnerabilidades y la administración de parches de Acronis Cyber Protect le brindan la tranquilidad de saber que sus cargas de trabajo están actualizadas, lo que minimiza la superficie de ataque general. Desde una consola central, elimina la necesidad de múltiples herramientas para mantener y proteger su activo más importante: sus datos.
Adecuado para empresas de todos los tamaños, Acronis Cyber Protect es una solución de software antivirus, antimalware y de copia de seguridad todo en uno que le ofrece la protección cibernética que necesita para mantener seguros su red, sus dispositivos y sus datos. Regístrese para su prueba gratuita hoy.
