Los cibercriminales intercambian phishing por abuso de credenciales, …



Los vectores de infección se dividieron equitativamente entre phishing, explotación de vulnerabilidades y uso de credenciales no autorizadas en 2019.

Los ataques de phishing son cada vez menos populares a medida que los ciberdelincuentes se dan cuenta de que no necesitan manipular objetivos para obtener acceso a sus cuentas. En cambio, están entrando con credenciales robadas y vulnerabilidades conocidas, que son más difíciles de detectar para las víctimas empresariales.

Esta tendencia es una de las más destacadas en el «Índice de Inteligencia de Amenazas X-Force 2020» de IBM, que tiene como objetivo proporcionar una visión normal del panorama de amenazas para los profesionales de la seguridad, a menudo atrapados en las malas hierbas de las alertas diarias. El informe enfatiza los vectores de ataque populares de hoy, la evolución del malware, los defectos comúnmente explotados y la actividad intensificada contra la tecnología operativa.

El phishing representó el 31% de los ataques en 2019, una caída notable de aproximadamente la mitad de los ataques del año anterior, según el informe. Las vulnerabilidades de vulnerabilidades conocidas quedaron en segundo lugar, aumentando de 8% en 2018 a 30% en 2019. En tercer lugar, hubo incidentes con credenciales robadas, una técnica muy cercana al 29% de los ataques.

«Desde una perspectiva de respuesta, esas son generalmente más difíciles de detectar para las organizaciones», dice Wendi Whitemore, vicepresidenta de IBM X-Power Menace Intelligence, de las últimas dos tácticas.

Tampoco son difíciles de atacar para los atacantes. Idealmente, todas las empresas habrán parcheado todos los sistemas, continúa Whitemore, pero «la realidad es que la mayoría de las organizaciones están luchando». Hasta la fecha se han revelado más de 150,000 vulnerabilidades, informa IBM. Las fallas en Microsoft Business y el Bloque de mensajes de Windows Server seguían viendo «tasas alarmantes» de explotación en 2019.

Los atacantes son especialmente aficionados a la falla de ejecución remota de código CVE-2017-0199 y CVE-2017-11882, que fue un mecanismo de entrega favorito en el segundo y tercer trimestre de 2019. Ambos están parcheados y representan casi el 90% de las fallas que los atacantes intentaron explotar a través de campañas de spam.

Aquellos que elijan ingresar usando credenciales robadas no encontrarán escasez de ellos. En 2019 se expusieron más de 8.500 millones de registros, al menos el triple de la cantidad comprometida en 2018. Gran parte de esto se debió a configuraciones incorrectas, que aumentaron casi diez veces en el mismo marco de tiempo y constituyeron el 86% de los registros comprometidos en 2019. El año pasado trajo una disminución en el número overall de configuraciones erróneas, lo que indica que cada una expuso más datos.

«Hay tantos datos que los atacantes pueden aprovechar», dice Whitmore, y es fácil y barato obtenerlos. Las credenciales a menudo son robadas de sitios web de terceros o tomadas en un ataque de phishing contra una empresa objetivo. Ayudan a los atacantes a mezclarse con el tráfico legítimo y los hacen más difíciles de encontrar.

El ransomware aumenta a medida que el malware cambia
Alrededor de la mitad de los ataques que IBM observó en la primera mitad de 2019 estaban relacionados con el ransomware, en comparación con el 10% en la segunda mitad de 2019. El cuarto trimestre de 2019 trajo un aumento del 67% en los incidentes de ransomware en comparación con el cuarto trimestre del año anterior. . Atributo de los investigadores el aumento al aumento de atacantes y campañas dirigidas a una variedad de organizaciones en 2019 en individual, los proveedores municipales y de salud fueron sorprendidos sin preparación.

Los atacantes a menudo usan descargadores como Emotet o Trickbot para implementar ransomware en un sistema de destino. A partir de ahí, usan múltiples etapas para infectar a las víctimas, una técnica que les da un mejor handle sobre el sistema para evadir la detección y los controles y convencer a las víctimas de que paguen.

Los datos de Intezer, que trabajaron con IBM X-Drive en el informe, indican que los atacantes están invertidos en desarrollar un nuevo código para expandir sus capacidades. En 2019, hubo un fuerte enfoque en la evolución de las bases de códigos de troyanos bancarios y ransomware al construir cepas de criptominer.

Los troyanos bancarios tuvieron el nivel más alto de código nuevo (45%) en 2019, seguido de ransomware (36%). Los investigadores creen que estas familias de malware apuntarán a usuarios empresariales en 2020. «(Esta actividad) significa que los atacantes dedican tiempo a reconstruir el código, reconstruir la infraestructura, porque estos ataques son muy efectivos», explica Whitmore.

La mayoría de estos cambios en el código no son significativos, agrega. Los atacantes tratan principalmente de evadir la detección, por lo que harán una «solución rápida y barata» para que el código pase por alto las herramientas de seguridad. Aún así, su inversión en el cambio de código probablemente significa que veremos estos ataques durante mucho tiempo.

Orientación de tecnología operativa
Los datos de IBM X-Drive muestran un aumento del 2.000% en incidentes dirigidos a tecnología operativa (OT) desde 2018, lo que podría indicar un mayor interés en atacar sistemas de control industrial (ICS) en 2020. La mayoría de estos incidentes aprovecharon una combinación de fallas conocidas en SCADA y hardware de ICS, además de ataques de rociamiento de contraseñas que utilizan el inicio de sesión de fuerza bruta contra objetivos de ICS.

Los investigadores informan la superposición entre la infraestructura OT y TI Por ejemplo, los controladores lógicos programables (PLC) y los ICS representaban un riesgo para las empresas que confiaban en estas infraestructuras en 2019. Explican que este tipo de infraestructura híbrida permite que los ataques a TI también apunten a dispositivos OT que controlan activos físicos. Esto puede aumentar significativamente el costo de recuperación de un ataque.

«Hay más sistemas que la conciencia de esos sistemas», dice Whitmote de los entornos OT. «Hay más de ellos por ahí ahora … y esa es un área que nos preocupa mucho». Ella anticipa que veremos una superficie de ataque más amplia a medida que los delincuentes se aprovechen.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dim Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia unique