Más ciberataques en el primer semestre de 2020 que en …



El cambio hacia el trabajo remoto relacionado con la pandemia y la creciente disponibilidad de ransomware como servicio fueron dos de los principales impulsores, dice CrowdStrike.

Un estudio de CrowdStrike sobre la actividad reciente de amenazas en las redes que pertenecen a sus clientes mostró más intentos de intrusión en los primeros seis meses de este año que en todo 2019.

El equipo de búsqueda de amenazas del proveedor de seguridad bloqueó unas 41.000 posibles intrusiones entre el 1 de enero y el 30 de junio de este año, en comparación con las 35.000 de todo el año pasado. Los incidentes de intrusiones manuales en el teclado en los primeros seis meses de 2020, donde un actor de amenazas participa activamente en actividades maliciosas, fue un 154% más alto que el número de casos similares que los investigadores de CrowdStrike observaron en 2019.

Como era de esperar, una de las principales causas del aumento de la actividad de amenazas fue la rápida adopción de fuerzas de trabajo remotas en respuesta a la pandemia de COVID-19. El cambio expandió significativamente la superficie de ataque en muchas organizaciones, que los actores de amenazas probaron y aprovecharon rápidamente. Otro issue determinante fue la creciente disponibilidad de ofertas de ransomware-as-a-service (RaaS) y el aumento resultante en los actores de amenazas y la actividad de ataque en el espacio. Hubo un aumento notable, especialmente en los ataques de ransomware que también involucraron el robo de datos confidenciales y los intentos posteriores de extorsionar a las víctimas con amenazas de divulgar públicamente los datos, dice Jennifer Ayers, vicepresidenta del servicio de búsqueda de amenazas OverWatch de CrowdStrike.

A pesar de toda la atención que el ciberespionaje y los grupos de amenazas respaldados por el estado nacional han recibido recientemente, una abrumadora mayoría de los ataques reales que CrowdStrike bloqueó en los primeros seis meses de este año fueron motivados económicamente. De hecho, el 82% de los ataques prácticos con el teclado que encontraron los cazadores de amenazas de CrowdStrike cayeron en la categoría de delitos electrónicos, en comparación con el 69% en 2019.

Como ha sido el caso durante algún tiempo, las organizaciones de los sectores financiero, tecnológico y de telecomunicaciones fueron objeto de un mayor objetivo que las organizaciones de la mayoría de los demás sectores. Además, sin embargo, CrowdStrike observó lo que llamó un aumento dramático en la actividad de intrusión que involucra a empresas de fabricación. De hecho, la industria manufacturera fue la segunda vertical más frecuentemente atacada después del sector tecnológico en la primera mitad de 2020. Según la empresa, la naturaleza crítica de la mayoría de las operaciones de fabricación y la valiosa propiedad intelectual y otros datos que poseen las empresas de fabricación han convertido al sector en un objetivo atractivo tanto para los atacantes motivados financieramente como para los grupos de amenazas del estado-nación.

Otros sectores que experimentaron una mayor actividad de amenazas fueron la salud, la alimentación y las bebidas, y las instituciones académicas.

Una vez más, los adversarios con sede en China representaron una amenaza significativa para las organizaciones en múltiples industrias. Los investigadores de CrowdStrike observaron al menos seis actores con sede en China dirigidos a organizaciones en varias campañas de robo de datos y ciberespionaje en la primera mitad de 2020. Las empresas de telecomunicaciones fueron objetivos particularmente populares para los grupos con sede en China. Las organizaciones de los sectores de la manufactura, la salud y la agricultura también fueron objeto de objetivos relativamente importantes.

De acuerdo con una tendencia reciente, los atacantes utilizaron una variedad de herramientas de administración legítimas en sus ataques. Algunos de ellos eran nativos del sistema operativo host y otros no. Las herramientas más utilizadas incluyen Approach Hacker, Proc Dump, Innovative IP Scanner, Crew Viewer y State-of-the-art Port Scanner. Los atacantes también utilizaron una variedad de herramientas legítimas de prueba de penetración en sus campañas, incluidas Mimikatz, Cobalt Strike, PowerShell Empire, PowerSploit y Meterpreter.

Una tendencia notable fue la creciente similitud en tácticas, técnicas y procedimientos (TTP) entre los grupos de delitos electrónicos y los grupos respaldados por el estado, en basic más sofisticados. La superposición en los TTP es especialmente evidente en las etapas iniciales de una intrusión y en el uso de herramientas de administración legítimas y las llamadas tácticas de vivir fuera de la tierra (LOTL) para infiltrarse en las redes, aumentar los privilegios, lograr la persistencia y para evadir las defensas, dice Ayers. Donde los dos grupos difieren más es en el sigilo y la perseverancia. Mientras que los grupos motivados financieramente tienden a ser más ruidosos y más obvios en su actividad maliciosa, los grupos estatales tienden a ser más sigilosos y persistentes, dice ella.

«Ambos presentan un desafío», señala Ayers. «La clave desde el punto de vista de un defensor es la madurez del programa de seguridad», dice Ayers. Para las organizaciones, la mejor defensa sigue prestando atención a los aspectos básicos, como parchear a tiempo, implementar la autenticación multifactor, cambiar las contraseñas con frecuencia y reforzar el perímetro para protegerse contra algunos de los ataques más básicos, dice.

Según Ayers, un desarrollo especialmente preocupante para los defensores es hasta qué punto los atacantes tienen que evadir la detección. Con las organizaciones que utilizan más herramientas de respuesta y detección de endpoints y otros controles de endpoints, los actores de amenazas han comenzado a innovar formas de evitarlos. «Hemos visto algunas cosas bastante interesantes en términos de hasta dónde llegarán, incluida la descarga literal de desinstaladores (antivirus)» en sistemas comprometidos.

El informe de CrowdStrike enumeró casi seis docenas de TTP que sus investigadores observaron que los atacantes usaban para evadir la detección. Entre ellas se encontraban tácticas que incluían la modificación del registro, la inyección de procesos, el uso de código firmado, el vaciado de procesos, el malware que se compilaba después de la entrega, la eliminación de archivos y los usuarios ocultos.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original