El 58% de los ciberataques nacionales-estatales provienen de Rusia



Rusia es la fuente de la mayor parte de los ataques cibernéticos de Estados-nación que Microsoft ha observado el año pasado (58%), seguida de Corea del Norte (23%), Irán (11%), China (8%) y Corea del Sur. Vietnam y Turquía, todos con menos del 1% de representación, revela un nuevo conjunto de datos.

El Informe de defensa electronic de Microsoft de este año extrae una gran cantidad de datos para resaltar tendencias en amenazas estatales, actividad ciberdelincuente, seguridad de la fuerza laboral híbrida, desinformación e Net de las cosas (IoT), tecnología operativa (OT) y seguridad de la cadena de suministro.

Los datos muestran que los ataques a los estados nacionales rusos son «cada vez más efectivos», pasando de una tasa de compromiso exitoso del 21% el año pasado a una tasa del 32% este año. También están apuntando a más agencias gubernamentales para la recopilación de inteligencia, un objetivo que saltó del 3% de sus víctimas el año pasado al 53% en 2021. Los actores estatales rusos apuntan principalmente a Estados Unidos, Ucrania y el Reino Unido. Muestra de datos de Microsoft.

También revela que Rusia no es el único actor del estado-nación que cambia sus enfoques. El espionaje es el objetivo más común entre los grupos de estados-nación sin embargo, la actividad de los atacantes revela diferentes motivaciones en Irán, que cuadruplicó su objetivo de Israel el año pasado y lanzó ataques destructivos, y Corea del Norte, que apuntó a las empresas de criptomonedas con fines de lucro.

Casi el 80% de la actividad del estado-nación se dirigió a empresas El 21% se dirigió a los consumidores. Los sectores más objetivo fueron el gobierno (48%), las ONG y los believe tanks (31%), la educación (3%), las organizaciones intergubernamentales (3%), las tecnologías de la información (2%), la energía (1%) y los medios de comunicación (1%). ). Microsoft ha alertado a los clientes sobre intentos de ataque de estados nacionales 20.500 veces en los últimos tres años.

Las herramientas que utilizan los atacantes del estado-nación suelen ser las mismas que utilizan otros delincuentes para violar las redes objetivo. Los estados-nación pueden «crear o aprovechar malware a medida, construir una nueva infraestructura de rociado de contraseñas o crear campañas únicas de phishing o ingeniería social», escribió Microsoft en su informe. Algunos, como el gadolinio vinculado a China, recurren cada vez más a herramientas de código abierto o malware de uso común para apuntar a las cadenas de suministro o lanzar ataques de denegación de servicio distribuidos o de intermediario (DDoS).

Ciberdelito
En el frente de los ciberdelincuentes, los datos destacan cómo el crecimiento de la actividad delictiva está impulsado en gran parte por una cadena de suministro que facilita las cosas a los atacantes. Los pares de nombre de usuario y contraseña robados cuestan $ .97 por 1,000 (en promedio) o $ 150 por 400 millones. El spear-phishing-for-hire puede costar entre $ 100 y $ 1,000 por toma de management exitosa de la cuenta, y los ataques DDoS son baratos para sitios desprotegidos: aproximadamente $ 300 USD por mes.

Los kits de ransomware cuestan tan solo $ 66 por adelantado, o el 30% de las ganancias, y el ransomware es sorprendente en todas partes. Microsoft informa que las cinco industrias principales a las que se dirigió el año pasado, según los compromisos de ransomware con su equipo de detección y respuesta rápida, son el consumidor minorista (13%), los servicios financieros (12%), la fabricación (12%) y el gobierno (11%). y salud (9%).

Microsoft ha visto dos tendencias positivas: en primer lugar, las empresas y los gobiernos son más comunicativos después de un ataque, que ha enfatizado la amenaza para los gobiernos de todo el mundo. En segundo lugar, a medida que más gobiernos de todo el mundo reconocen el ciberdelito como una amenaza para la seguridad nacional, han hecho de su lucha una prioridad. Más gobiernos están aprobando nuevas leyes que se centran en informar, colaborar y compartir recursos para combatir los ataques.

Fuerza laboral híbrida: datos de seguridad y desafíos
Todas estas tendencias de ataque se desarrollan a medida que las empresas navegan por el futuro del trabajo híbrido y remoto después de un rápido cambio al trabajo desde casa, que creó nuevas superficies de ataque para los delincuentes, y un año de importantes incidentes de seguridad, incluidos los ataques a SolarWinds y Colonial. Pipeline, así como aquellos que se dirigen a las vulnerabilidades de Trade Server en las instalaciones.

Internamente, Microsoft está viendo una división del 50/50 entre las personas que quieren trabajar más desde la oficina o de forma más remota, dijo el CISO Bret Arsenault en una entrevista con Dim Looking at. «Eso refleja globalmente … diferentes culturas, diferentes entornos domésticos, diferentes entornos», y agregó que «para la transformación digital y la confianza cero, esto acelera a ambos de una manera realmente grande».

Y aunque se ha avanzado, las empresas tienen un largo camino por recorrer: Azure Active Listing recibe 50 millones de ataques de contraseñas por día, informa Microsoft, pero solo el 20% de los usuarios y el 30% de los administradores globales utilizan una autenticación sólida, como la autenticación multifactor (MFA). . Los ataques basados ​​en contraseñas siguen siendo la principal fuente de compromiso de la identidad, muestran los datos.

«Necesitamos que la gente lo adopte a un ritmo más rápido», dijo Arsenault sobre los métodos de autenticación sólidos. Si bien hay algunas buenas noticias (los administradores globales son un grupo de mayor riesgo y se debe priorizar), él cree que hay un enfoque demasiado fuerte en los procesos heredados y enfatiza la importancia del «progreso sobre la perfección».

«A veces me preocupa que la gente piense que hasta que pueden llegar al 100% no se mueven en cada segmento diferente», explicó. «Podemos hacer más como industria para seguir ayudando a las personas a ver: comience con 2FA, comience con los usuarios de alto riesgo en relación con su negocio. Hay diferentes puntos de partida para diferentes negocios y diferentes modelos. Elija los que son más importantes para tu negocio.»

Otro enfoque para los equipos de seguridad que miran hacia un futuro híbrido es el management de acceso a la crimson, continúa. Las señales de Azure Firewall revelan 2 billones de flujos bloqueados el año pasado, incluidos los flujos maliciosos detectados por los motores de inteligencia de amenazas y el tráfico no deseado bloqueado por las reglas del firewall. Los firewalls de aplicaciones website (WAF) durante el último año han tenido más de 25 mil millones de reglas activadas semanalmente, con un 4% a 5% del tráfico entrante en promedio considerado malicioso.

Arsenault dice que el cambio al trabajo remoto también generó un aumento en los ataques de Protocolo de escritorio remoto (RDP) en comparación con lo que Microsoft había visto en el pasado.

«Seguimos viendo una gran cantidad de personas que persiguen los protocolos heredados en specific, para la autenticación, vemos que continúa sucediendo», dijo a Darkish Looking through.

Muchos de estos ataques se pueden mitigar con los conceptos básicos de seguridad: parcheo, mantenimiento de sistemas actualizados, principio de privilegio mínimo y MFA, agregó.

«Se siente como la parte peatonal de los trabajos, pero en gran medida lo alivian de ser vulnerable a esos o mitigan el impacto, o el radio de explosión, de esas cosas cuando suceden», dice. «Es aburrido, pero la realidad es que … seguir haciendo lo básico es bastante efectivo en relación con los patrones de ataque que vemos».



Enlace a la noticia unique