Podría decirse que el ransomware fue la amenaza más importante que enfrentaron las organizaciones en 2021, con algunos operadores de ransomware que abandonaron la escena, otros nuevos ingresaron al redil y los modelos comerciales y las tácticas se refinaron para hacer que el ransomware dirigido sea más lucrativo que nunca.
Sin embargo, el ransomware no fue la única amenaza, ya que los ataques a la cadena de suministro, un aumento de los atacantes que explotan las vulnerabilidades en las aplicaciones públicas y los ataques contra la infraestructura crítica también configuran el panorama de amenazas en 2021.
Secuestro de datos
El ransomware, o más precisamente, el ransomware dirigido, fue la amenaza más dominante en los titulares a lo largo de 2021. Las pandillas de ransomware avanzaron hacia entidades con una amplia red de usuarios intermedios. Estas entidades upstream incluían grandes desarrolladores de software y organizaciones involucradas en infraestructura crítica, como se vio en los ataques de Kaseya y Colonial Pipeline. Apuntar a los proveedores de servicios administrados (MSP) también les dio a los atacantes la oportunidad de infectar potencialmente a miles de víctimas al comprometer solo una.
Si bien, como en años anteriores, la cantidad total de ataques de ransomware detectados y bloqueados por las soluciones continúa con una tendencia a la baja, esto no significa que la actividad de ransomware se esté convirtiendo en una amenaza menor. Esta tendencia a la baja se debe a una disminución significativa en los ataques de ransomware indiscriminados y relativamente poco sofisticados y en los actores de amenazas que cambian su enfoque a las grandes organizaciones donde pueden causar más interrupciones y exigir mayores cantidades de rescate. El número de estos ataques de ransomware dirigidos aumentó de alrededor de 80 en enero de 2020 a más de 200 en septiembre de 2021.
Este aumento en los ataques de ransomware dirigidos se debe en parte a dos desarrollos relativamente recientes: el surgimiento de los llamados intermediarios de acceso inicial (IAB), actores de amenazas que venden acceso a redes comprometidas al mejor postor, que en los últimos tiempos se ha convertido en bandas de ransomware objetivo. ; y un aumento en ransomware-as-a-service (RaaS), un modelo basado en suscripción que permite a individuos o pandillas conocidas como afiliadas usar amenazas de ransomware ya desarrolladas en sus ataques.
Las redes de bots ahora también juegan un papel clave en los ataques de ransomware, y muchas redes de bots de fraude financiero más antiguas se han reutilizado para propagar ransomware. En algunos casos, es el mismo actor de amenazas detrás del ransomware y la botnet. Por ejemplo, se cree que Trickbot está controlado por el grupo Miner (también conocido como Wizard Spider), que también está vinculado al ransomware Ryuk y Conti.
El año pasado, la infraestructura del ransomware REvil (también conocido como Leafroller, Sodinokibi) también se vio comprometida por las fuerzas del orden, que obtuvieron el control de al menos algunos de los servidores de REvil . Sin embargo, al igual que con los esfuerzos anteriores para detener la actividad de la pandilla, es probable que REvil reaparezca de alguna forma luego del esfuerzo de eliminación más reciente.
En 2021, los grupos de ransomware dirigidos también comenzaron a amenazar a las víctimas para evitar que compartan detalles de los ataques con los medios o las empresas de negociación de ransomware. Tanto las pandillas de ransomware Conti como Grief dijeron que publicarían los datos de las víctimas robadas o eliminarían las claves de descifrado si las transcripciones o capturas de pantalla de las negociaciones de rescate se compartían públicamente. El anuncio probablemente fue motivado por un número creciente de informes de los medios que contenían detalles de las negociaciones de rescate. Otros grupos de amenazas también emplearon tácticas similares, incluido Ragnar Locker y una nueva amenaza de ransomware llamada Yanluowang, que fue descubierta por el Threat Hunter Team de Symantec .
Ataques a la cadena de suministro
Los ataques a la cadena de suministro de software, debido a su potencial para perturbar a grandes sectores de la sociedad y las empresas, siguen siendo una preocupación para los gobiernos y las empresas de todo el mundo. Dos ataques significativos a la cadena de suministro en los titulares del año pasado incluyeron el ataque a SolarWinds y el ataque a Kaseya.
Si bien el ataque de SolarWinds ocurrió a fines de 2020, continuó haciendo olas hasta bien entrado 2021. Los atacantes responsables del ataque, el grupo Nobelium (también conocido como Hagensia), respaldado por Rusia, se ha mantenido activo. En septiembre se descubrió una nueva amenaza de puerta trasera (Tomiris), probablemente desarrollada por Nobelium. El malware tiene similitudes con el malware de segunda etapa SUNSHUTTLE utilizado por Nobelium en el ataque SolarWinds. Mientras que otra puerta trasera posterior a la explotación (FoggyWeb) también se vinculó a Nobelium. El malware está diseñado para robar datos confidenciales de los servidores de Servicios de federación de Active Directory (AD FS) comprometidos.
The attack against IT management software maker Kaseya, which was carried out by the REvil ransomware operators, impacted multiple managed service providers (MSPs) that used the company’s software. While Kaseya reported that approximately 60 of their customers were impacted by the attack, those customers were MSPs with numerous customers themselves. The estimated number of organizations compromised as a result of the supply chain attack was 1,500. The attack was carried out during the U.S. July 4 holiday weekend, likely in an attempt to have the attack go unnoticed for as long as possible due to many employees being on leave. This is a tactic that is increasingly being adopted by threat actors.
Si bien los ataques de Kaseya y SolarWinds son los más significativos, de ninguna manera son los únicos ataques a la cadena de suministro en los últimos tiempos. Según un informe del Identity Theft Resource Center (ITRC), los ataques a la cadena de suministro están aumentando, con 793 000 personas más afectadas por dichos ataques en los primeros tres trimestres de 2021 que en los 12 meses completos de 2020.
Nuevas vías de ataque
El año pasado se registró un aumento en el número de atacantes que explotan las vulnerabilidades de las aplicaciones públicas para obtener acceso a las redes de las organizaciones. Si bien en algunos casos los atacantes se enfocan en errores de día cero, con mayor frecuencia buscan vulnerabilidades parcheadas recientemente y la búsqueda de sistemas sin parches.
un ejemplo notable de esto fueron las vulnerabilidades críticas en Microsoft Exchange Server, conocidas colectivamente como ProxyLogon. Las fallas se corrigieron a principios de marzo de 2021, y Microsoft dijo en ese momento que las fallas estaban siendo explotadas por un grupo de amenazas persistentes avanzadas (APT) que denominó Hafnium (Symantec rastrea a este grupo como Ant) en ataques dirigidos. Sin embargo, poco después de que se revelaran las vulnerabilidades de ProxyLogon, otros actores de amenazas comenzaron a explotarlas.
Infraestructura crítica
Los ataques cibernéticos contra la infraestructura nacional crítica (CNI) pueden ser algunos de los más impactantes, ya que pueden afectar potencialmente a todos en la sociedad. Esto se destacó en mayo de 2021, cuando Colonial Pipeline, el oleoducto de petróleo más grande de los EE. UU., sufrió un ataque de ransomware que afectó al equipo que administraba el oleoducto.
El ataque fue llevado a cabo por la pandilla de ransomware DarkSide con sede en Rusia. Si bien el rescate se pagó solo unas horas después del ataque, el descifrado fue lento y la operación del oleoducto se detuvo, lo que provocó escasez de combustible, aumentos de precios y compras de pánico en varios estados de EE. UU.
El ataque al Oleoducto Colonial no fue un incidente aislado, y en julio de 2021 también surgieron noticias de que los actores de amenazas patrocinados por el estado chino habían atacado a 23 operadores de oleoductos y gasoductos estadounidenses en campañas de ataque entre 2011 y 2013. Los funcionarios estadounidenses anunciaron que el objetivo de los actores detrás de los ataques estaba “ayudar a China a desarrollar capacidades de ataque cibernético contra los oleoductos de EE. UU. para dañar físicamente los oleoductos o interrumpir las operaciones de los oleoductos”. Los ataques contra CNI no muestran signos de detenerse, con una tendencia al alza en la cantidad de detecciones basadas en la red relacionadas con ataques dirigidos a CNI (Figura 3). Estos ataques están bloqueados por las tecnologías del Sistema de prevención de intrusiones (IPS) de Symantec. La actividad maliciosa bloqueada en la red experimentó una disminución después de un pico en julio de 2021, sin embargo, en general, los números tienden a aumentar.