Los piratas informáticos patrocinados por el estado y las bandas de ransomware están diversificando tácticas para infligir más daño


Los grupos han estado utilizando herramientas listas para usar y herramientas de prueba de penetración de código abierto a una escala sin precedentes, según el Informe sobre amenazas cibernéticas 2020 de Accenture.

hacker

Igor Stevanovic, Getty Photographs / iStockphoto

Algunos de los adversarios cibernéticos de los estados-nación más capacitados del mundo y las bandas de ransomware más notorias están desplegando un arsenal de nuevas herramientas de código abierto, explotar activamente los sistemas de correo electrónico corporativos y utilizar la extorsión en línea asustar a las víctimas para que paguen rescates, según el Informe sobre amenazas cibernéticas 2020 de Accenture.

VER: Política de protección contra robo de identidad (TechRepublic Quality)

«Desde que COVID-19 cambió radicalmente la forma en que trabajamos y vivimos, hemos visto una amplia gama de adversarios cibernéticos que cambian sus tácticas para aprovechar las nuevas vulnerabilidades», dijo Josh Ray, quien dirige la práctica worldwide de defensa cibernética de Accenture Protection, en un declaración. «Lo más importante de nuestra investigación es que las organizaciones deberían esperar que los ciberdelincuentes se vuelvan más descarados a medida que las oportunidades y los beneficios potenciales de estas campañas se elevan a la estratosfera».

En este tipo de clima, las organizaciones deben esforzarse por implementar los controles adecuados y aprovechar la inteligencia confiable sobre amenazas cibernéticas para comprender y expulsar las amenazas más complejas, dijo Ray.

Los adversarios sofisticados enmascaran las identidades con herramientas listas para usar

A lo largo de 2020, los presuntos grupos delictivos organizados y patrocinados por el estado han estado utilizando una combinación de herramientas listas para usar, incluidas herramientas para «vivir de la tierra», infraestructura de alojamiento compartido y código de explotación desarrollado públicamente, y herramientas de prueba de penetración de código abierto en escala sin precedentes para llevar a cabo ciberataques y ocultar sus huellas, según el informe.

VER: Microsoft ahora es la marca más imitada en ataques de phishing (TechRepublic)

Por ejemplo, Accenture dijo que rastrea los patrones y actividades de un grupo de hackers con sede en Irán conocido como SOURFACE (también conocido como Chafer o Remix Kitten). El grupo ha estado activo desde al menos 2014 y es conocido por sus ciberataques en las industrias de petróleo y fuel, comunicaciones, transporte y otras en los EE. UU., Israel, Europa, Arabia Saudita, Australia y otras regiones, según la firma.

Los analistas de Accenture CTI han observado que SOURFACE utiliza funciones legítimas de Windows y herramientas de libre acceso como Mimikatz para el volcado de credenciales, según el informe. Esta técnica se utiliza para robar credenciales de autenticación de usuarios, como nombres de usuario y contraseñas, para permitir que los atacantes escalen privilegios o se muevan por la crimson para comprometer otros sistemas y cuentas mientras se disfrazan como usuarios válidos.

Según el informe, es muy possible que los actores sofisticados, incluidos los grupos delictivos organizados y patrocinados por el estado, continúen utilizando herramientas de prueba de penetración y listas para usar en el futuro previsible, ya que son fáciles de usar, efectivas y económicas. eficiente.

Tácticas nuevas y sofisticadas apuntan a la continuidad del negocio

El informe también señala cómo un grupo notorio se ha dirigido agresivamente a los sistemas que admiten Microsoft Trade y Outlook World wide web Obtain, y luego utiliza estos sistemas comprometidos como cabezas de playa dentro del entorno de una víctima para ocultar el tráfico, transmitir comandos, comprometer el correo electrónico, robar datos y recopilar credenciales para los esfuerzos de espionaje. .

Operando desde Rusia, el grupo, al que Accenture se refiere como BELUGASTURGEON (también conocido como Turla o Snake), ha estado activo durante más de 10 años y está asociado con numerosos ciberataques dirigidos a agencias gubernamentales, firmas de investigación de política exterior y consider tanks en todo el país. Globe, según el informe.

El ransomware alimenta un nuevo modelo de negocio rentable y escalable

El ransomware se ha convertido rápidamente en un modelo de negocio más lucrativo el año pasado, y los ciberdelincuentes llevaron la extorsión en línea a un nuevo nivel al amenazar con divulgar públicamente datos robados o venderlos y nombrar y avergonzar a las víctimas en sitios world wide web dedicados, según el informe.

Los criminales detrás del Laberinto, Sodinokibi (también conocido como REvil) y DoppelPaymer Las cepas de ransomware son las pioneras de esta táctica creciente, que está generando mayores ganancias y dando como resultado una ola de actores imitadores y nuevos vendedores de ransomware, según el informe de Accenture.

Además, el infame ransomware LockBit surgió a principios de este año. Además de copiar la táctica de extorsión, LockBit ha ganado atención debido a su función de autopropagación que infecta rápidamente otras computadoras en una pink corporativa, según el informe.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Las motivaciones detrás de LockBit también parecen ser financieras. Accenture dijo que sus analistas de CTI han rastreado a los ciberdelincuentes en los foros de la Darkish Internet, donde se encuentran para anunciar actualizaciones periódicas y mejoras al ransomware, y reclutan activamente nuevos miembros prometiendo una parte del dinero del rescate.

El éxito de estos métodos de extorsión de pirateo y fuga, especialmente contra organizaciones más grandes, significa que probablemente proliferarán durante el resto de 2020 y podrían presagiar futuras tendencias de piratería en 2021. De hecho, Accenture dijo que los analistas de CTI han observado campañas de reclutamiento en un Foro de la Dark World wide web de los actores de amenazas detrás de Sodinokibi.

Ver también




Enlace a la noticia first