El ransomware disminuyó el año pasado, aunque LockBit lideró a los actores de amenazas y los empleados abrieron un tercio de los correos electrónicos tóxicos en los últimos seis meses de 2022.
Una nueva investigación de NCC Team y Irregular Safety muestra nubes y un poco de plata para alinearlas: los ataques de ransomware disminuyeron el año pasado, pero los compromisos de correo electrónico empresarial aumentaron, de manera masiva para las empresas más pequeñas, y un tercio de los correos electrónicos tóxicos atravesaron sus puertas de enlace humanas.
VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)
Salta a:
Los ataques de ransomware se redujeron el año pasado
Según la empresa de gestión de riesgos NCC Group, hubo una caída del 5 % en los ataques de ransomware el año pasado, de 2667 ataques en 2021 a 2531 ataques en 2022, aunque entre febrero y abril hubo un repunte debido a la actividad de LockBit durante la guerra entre Rusia y Ucrania. .
En su recién estrenado Check de amenazas H1 anual de 2022que sigue los incidentes identificados por su servicio gestionado de detección y respuesta y el equipo world-wide de respuesta a incidentes cibernéticos, el Grupo NCC informó:
- El sector Industrial fue el más atacado por bandas criminales por segundo año consecutivo.
- América del Norte (44 % de los ataques) y Europa (35 %) fueron las regiones más atacadas.
- Hubo 230 519 eventos DDoS en 2022 con un 45 % dirigido a los EE. UU., el 27 % de los cuales ocurrió en enero.
- LockBit fue responsable del 33% de los ataques de ransomware (846) monitoreados por NCC.
La consultora dijo que un aumento a principios de 2022 en los ataques DDoS y las infracciones lideradas por botnets se debe en parte a una mayor turbulencia dentro del panorama más amplio de amenazas cibernéticas, gracias en gran parte a la guerra entre Rusia y Ucrania.
“DDoS continúa siendo armado por grupos criminales y hacktivistas como parte del conflicto, junto con campañas de desinformación y malware destructivo, para paralizar la infraestructura nacional crítica en Ucrania y más allá”, dice el informe.
LockBit lidera la galería de pícaros
Gracias en parte a la guerra en Ucrania, LockBit y otros jugadores estuvieron más activos que de costumbre:
- LockBit fue responsable del 33 % de los ataques de ransomware (846) monitoreados por NCC, un aumento del 94 % en comparación con su actividad de 2021, alcanzando su punto máximo en abril con 103 ataques. La firma señaló que este pico se adelantó a la introducción de LockBit 3..
- BlackCat representó el 8% del complete de ataques el año pasado, con un promedio de 18 ataques cada mes con un pico de 30 incidentes en diciembre.
- Conti, un actor de amenazas afiliado a Rusia, fue el atacante más activo en 2021, responsable del 21% de todos los ataques. Redujo sus niveles de ataque al 7% de todos los ataques registrados el año pasado.
Industriales un objetivo constante
Según NCC Team, los sectores más atacados en 2022 fueron: industriales, con 804 organizaciones afectadas, lo que constituye el 32 % de los ataques cíclicos de consumo, atacados 487 veces para el 20% de los ataques y el sector de la tecnología, objetivo 263 veces para el 10% de todos los ataques.
En specific, los hoteles y las empresas de entretenimiento, los minoristas especializados, los minoristas de suministros para la construcción y la construcción de viviendas y los servicios financieros dominaron los objetivos cíclicos. Mientras tanto, el software y los servicios de TI fueron el sector más objetivo dentro de la tecnología.
En el informe, Matt Hull, jefe worldwide de inteligencia de amenazas de NCC Team, dijo que un número significativo de ataques DDoS y malware implementados por delincuentes, hacktivistas y otras naciones fueron consecuencia del conflicto entre Rusia y Ucrania.
“Aunque tal vez no sea el ‘cybergeddon’ que algunos esperaban del próximo gran conflicto global, estamos viendo un aumento de los ataques patrocinados por el estado con la guerra cibernética demostrando ser crítica en este campo de batalla cibernético-físico híbrido”, dijo.
Los ataques BEC triunfan al engañar a un tercio de los empleados
El año pasado, los ataques de ingeniería social fueron una gran noticia después de que Cisco se viera comprometida por vulnerabilidades de phishing y Microsoft, Samsung, NVIDIA y Uber fueran atacados por Lapsu$. Ya este año, Mailchimp y Riot Online games también han sido víctimas.
Los compromisos de correo electrónico empresarial se están abriendo paso a través de las barreras humanas: casi un tercio de los empleados están abriendo correos electrónicos comprometidos, según la plataforma de seguridad basada en inteligencia artificial Abnormal Protection, cuyo nuevo Informe de amenazas de correo electrónico del primer semestre de 2023 analiza el panorama de amenazas de correo electrónico con un interés especial en los riesgos que plantean los empleados.
El estudio, que analizó las estadísticas de ingeniería social y se basó en datos agregados entre julio y diciembre del año pasado, también encontró que esos empleados respondieron al 15% de los BEC, en promedio. Alrededor del 36 % de las respuestas fueron iniciadas por empleados que ya habían participado en un ataque anterior.
Solo el 2,1% de los ataques conocidos fueron informados a los equipos de seguridad por los empleados. Crane Hassold, director de inteligencia de amenazas de Irregular Security, dijo que varios factores explican este fenómeno.
“Una de las razones es el efecto espectador, cuando los empleados asumen que no son el único objetivo de un ataque y, por lo tanto, no necesitan denunciar el correo electrónico porque seguramente un compañero de trabajo ya lo ha hecho”, dijo. “Algunos empleados pueden creer que mientras no interactúen con el atacante, han cumplido con su deber, aunque elimina la oportunidad de que el equipo de seguridad advierta a otros empleados sobre el ataque”.
Los hallazgos adicionales del informe incluyen:
- El 84% de los informes de los empleados a los buzones de phishing son correos electrónicos seguros o correo gris.
- Los empleados en roles de ventas de nivel de entrada con títulos como Asociado de ventas y Especialista en ventas leen y responden ataques BEC basados en texto el 78% del tiempo.
- Casi dos tercios de las grandes empresas experimentaron un ataque de compromiso de la cadena de suministro en la segunda mitad de 2022.
- Desde la primera hasta la segunda mitad de 2022, los ataques BEC dirigidos a organizaciones SMB crecieron un 147 %.
Hassold dijo que el fenómeno del «correo gris» constituye lo que es esencialmente un efecto secundario de la capacitación en concientización sobre seguridad, lo que ha causado que una cantidad significativa de correo cuestionable o no deseado sea informado al equipo SOC de una organización.
“Si bien hemos tratado de condicionar a los empleados para que informen mensajes maliciosos a un equipo de seguridad, la consecuencia no deseada es que los equipos que evalúan estos informes ahora están sobrecargados con frecuencia revisando correos electrónicos no maliciosos”, dijo.
Agregó que el gran aumento en los ataques a SMB refleja un aumento basic.
“Estamos analizando la proporción de ataques BEC por cada 1000 buzones de correo”, dijo Hassold, “aunque las pymes constituyen la gran mayoría de las empresas, el razonamiento de este punto de datos probablemente tenga que ver con el aumento typical de los ataques BEC en el segunda mitad del año y las PYMES son más susceptibles a estos ataques, ya que no pueden invertir tanto en defensas que los detengan”.
Mirando hacia el 2023
Hull de NCC dijo que los malos actores centrarán su atención en comprometer las cadenas de suministro en 2023, pasando por alto la autenticación de múltiples factores y aprovechando las API mal configuradas.
“La amenaza persistirá”, dijo. “Las organizaciones deben permanecer vigilantes, comprender cómo podrían estar expuestas y tomar medidas para mitigar cualquier riesgo”.
