NUESTRO BLOG

Desde el ecosistema de ransomware en evolución hasta los ataques contra la infraestructura crítica, un trabajo realizado por la marca Symantec repasa las tendencias de seguridad cibernética que dieron forma al 2021
thin
Un resumen de tendencias de amenazas en el 2021

Podría decirse que el ransomware fue la amenaza más importante que enfrentaron las organizaciones en 2021, con algunos operadores de ransomware que abandonaron la escena, otros nuevos ingresaron al redil y los modelos comerciales y las tácticas se refinaron para hacer que el ransomware dirigido sea más lucrativo que nunca.

Sin embargo, el ransomware no fue la única amenaza, ya que los ataques a la cadena de suministro, un aumento de los atacantes que explotan las vulnerabilidades en las aplicaciones públicas y los ataques contra la infraestructura crítica también configuran el panorama de amenazas en 2021.

Secuestro de datos

El ransomware, o más precisamente, el ransomware dirigido, fue la amenaza más dominante en los titulares a lo largo de 2021. Las pandillas de ransomware avanzaron hacia entidades con una amplia red de usuarios intermedios. Estas entidades upstream incluían grandes desarrolladores de software y organizaciones involucradas en infraestructura crítica, como se vio en los ataques de Kaseya y Colonial Pipeline. Apuntar a los proveedores de servicios administrados (MSP) también les dio a los atacantes la oportunidad de infectar potencialmente a miles de víctimas al comprometer solo una.

Si bien, como en años anteriores, la cantidad total de ataques de ransomware detectados y bloqueados por las soluciones  continúa con una tendencia a la baja, esto no significa que la actividad de ransomware se esté convirtiendo en una amenaza menor. Esta tendencia a la baja se debe a una disminución significativa en los ataques de ransomware indiscriminados y relativamente poco sofisticados y en los actores de amenazas que cambian su enfoque a las grandes organizaciones donde pueden causar más interrupciones y exigir mayores cantidades de rescate. El número de estos ataques de ransomware dirigidos aumentó de alrededor de 80 en enero de 2020 a más de 200 en septiembre de 2021.

Este aumento en los ataques de ransomware dirigidos se debe en parte a dos desarrollos relativamente recientes: el surgimiento de los llamados intermediarios de acceso inicial (IAB), actores de amenazas que venden acceso a redes comprometidas al mejor postor, que en los últimos tiempos se ha convertido en bandas de ransomware objetivo. ; y un aumento en ransomware-as-a-service (RaaS), un modelo basado en suscripción que permite a individuos o pandillas conocidas como afiliadas usar amenazas de ransomware ya desarrolladas en sus ataques.

Las redes de bots ahora también juegan un papel clave en los ataques de ransomware, y muchas redes de bots de fraude financiero más antiguas se han reutilizado para propagar ransomware. En algunos casos, es el mismo actor de amenazas detrás del ransomware y la botnet. Por ejemplo, se cree que Trickbot está controlado por el grupo Miner (también conocido como Wizard Spider), que también está vinculado al ransomware Ryuk y Conti.

El año pasado, la infraestructura del ransomware REvil (también conocido como Leafroller, Sodinokibi) también se vio comprometida por las fuerzas del orden, que obtuvieron el control de al menos algunos de los servidores de REvil . Sin embargo, al igual que con los esfuerzos anteriores para detener la actividad de la pandilla, es probable que REvil reaparezca de alguna forma luego del esfuerzo de eliminación más reciente.

En 2021, los grupos de ransomware dirigidos también comenzaron a amenazar a las víctimas para evitar que compartan detalles de los ataques con los medios o las empresas de negociación de ransomware. Tanto las pandillas de ransomware Conti como Grief dijeron que publicarían los datos de las víctimas robadas o eliminarían las claves de descifrado si las transcripciones o capturas de pantalla de las negociaciones de rescate se compartían públicamente. El anuncio probablemente fue motivado por un número creciente de informes de los medios que contenían detalles de las negociaciones de rescate. Otros grupos de amenazas también emplearon tácticas similares, incluido Ragnar Locker y una nueva amenaza de ransomware llamada Yanluowang, que fue descubierta por el Threat Hunter Team de Symantec .

Ataques a la cadena de suministro

Los ataques a la cadena de suministro de software, debido a su potencial para perturbar a grandes sectores de la sociedad y las empresas, siguen siendo una preocupación para los gobiernos y las empresas de todo el mundo. Dos ataques significativos a la cadena de suministro en los titulares del año pasado incluyeron el ataque a SolarWinds y el ataque a Kaseya.

Si bien el ataque de SolarWinds ocurrió a fines de 2020, continuó haciendo olas hasta bien entrado 2021. Los atacantes responsables del ataque, el grupo Nobelium (también conocido como Hagensia), respaldado por Rusia, se ha mantenido activo. En septiembre se descubrió una nueva amenaza de puerta trasera (Tomiris), probablemente desarrollada por Nobelium. El malware tiene similitudes con el malware de segunda etapa SUNSHUTTLE utilizado por Nobelium en el ataque SolarWinds. Mientras que otra puerta trasera posterior a la explotación (FoggyWeb) también se vinculó a Nobelium. El malware está diseñado para robar datos confidenciales de los servidores de Servicios de federación de Active Directory (AD FS) comprometidos.

The attack against IT management software maker Kaseya, which was carried out by the REvil ransomware operators, impacted multiple managed service providers (MSPs) that used the company’s software. While Kaseya reported that approximately 60 of their customers were impacted by the attack, those customers were MSPs with numerous customers themselves. The estimated number of organizations compromised as a result of the supply chain attack was 1,500. The attack was carried out during the U.S. July 4 holiday weekend, likely in an attempt to have the attack go unnoticed for as long as possible due to many employees being on leave. This is a tactic that is increasingly being adopted by threat actors.

Si bien los ataques de Kaseya y SolarWinds son los más significativos, de ninguna manera son los únicos ataques a la cadena de suministro en los últimos tiempos. Según un informe del Identity Theft Resource Center (ITRC), los ataques a la cadena de suministro están aumentando, con 793 000 personas más afectadas por dichos ataques en los primeros tres trimestres de 2021 que en los 12 meses completos de 2020.

Nuevas vías de ataque

El año pasado se registró un aumento en el número de atacantes que explotan las vulnerabilidades de las aplicaciones públicas para obtener acceso a las redes de las organizaciones. Si bien en algunos casos los atacantes se enfocan en errores de día cero, con mayor frecuencia buscan vulnerabilidades parcheadas recientemente y la búsqueda de sistemas sin parches.

un ejemplo notable de esto fueron las vulnerabilidades críticas en Microsoft Exchange Server, conocidas colectivamente como ProxyLogon. Las fallas se corrigieron a principios de marzo de 2021, y Microsoft dijo en ese momento que las fallas estaban siendo explotadas por un grupo de amenazas persistentes avanzadas (APT) que denominó Hafnium (Symantec rastrea a este grupo como Ant) en ataques dirigidos. Sin embargo, poco después de que se revelaran las vulnerabilidades de ProxyLogon, otros actores de amenazas comenzaron a explotarlas.

Infraestructura crítica

Los ataques cibernéticos contra la infraestructura nacional crítica (CNI) pueden ser algunos de los más impactantes, ya que pueden afectar potencialmente a todos en la sociedad. Esto se destacó en mayo de 2021, cuando Colonial Pipeline, el oleoducto de petróleo más grande de los EE. UU., sufrió un ataque de ransomware que afectó al equipo que administraba el oleoducto.

El ataque fue llevado a cabo por la pandilla de ransomware DarkSide con sede en Rusia. Si bien el rescate se pagó solo unas horas después del ataque, el descifrado fue lento y la operación del oleoducto se detuvo, lo que provocó escasez de combustible, aumentos de precios y compras de pánico en varios estados de EE. UU.

El ataque al Oleoducto Colonial no fue un incidente aislado, y en julio de 2021 también surgieron noticias de que los actores de amenazas patrocinados por el estado chino habían atacado a 23 operadores de oleoductos y gasoductos estadounidenses en campañas de ataque entre 2011 y 2013. Los funcionarios estadounidenses anunciaron que el objetivo de los actores detrás de los ataques estaba “ayudar a China a desarrollar capacidades de ataque cibernético contra los oleoductos de EE. UU. para dañar físicamente los oleoductos o interrumpir las operaciones de los oleoductos”. Los ataques contra CNI no muestran signos de detenerse, con una tendencia al alza en la cantidad de detecciones basadas en la red relacionadas con ataques dirigidos a CNI (Figura 3). Estos ataques están bloqueados por las tecnologías del Sistema de prevención de intrusiones (IPS) de Symantec. La actividad maliciosa bloqueada en la red experimentó una disminución después de un pico en julio de 2021, sin embargo, en general, los números tienden a aumentar.

Newsletters

Suscríbete

NUESTROS ÚLTIMOS POST EN NUESTRO BLOG

Un resumen de tendencias de amenazas en el 2021 

Desde el ecosistema de ransomware en evolución hasta los ataques contra la infraestructura crítica, un trabajo realizado por la marca Symantec repasa las tendencias de seguridad cibernética que dieron forma al 2021

Son detectadas nuevas formas de ataque hacia la industria 

Durante la primera mitad de 2021, los expertos del Kaspersky  observaron una curiosa anomalía en las estadísticas sobre amenazas de spyware bloqueadas en computadoras industriales.

Joker: el troyano más famoso para Android 

Este troyano, descubierto por primera vez en 2017, realiza fraudes SMS a través del envío de mensajes a números no gratuitos. Además, puede suscribir a los usuarios a sitios webs que ofrecen servicios de pago, realizando así también el fraude mediante suscripciones premium.

Tercera vulnerabilidad en Log4Shell 

Se han identificado docenas de familias de malware que abarcan desde mineros de monedas de criptomonedas y troyanos de acceso remoto hasta redes de bots y webshells aprovechando los errores.

Nuestros Servicios

SEGURIDAD INFORMÁTICA

Contamos con tecnologías de vanguardia en materia de seguridad que mantendrá su empresa bajo un entorno de seguridad y confianza.

INFRAESTRUCTURA

IT

Tenemos la solución correcta que le permitirán a su empresa, convertir la tecnología en el mejor aliado para lograr sus objetivos.


SOC-NOC HORUS

Monitorea, Administra y Soporta cualquier componente de su infraestructura

tecnológica con la finalidad de tener una respuesta proactivabajo un esquema 7x24x365.

REDES DE DATOS

Nuestras Redes de Datos permiten a nuestros clientes definir los mejores esquemas de Red LAN y WLAN, para poder aprovechar al máximo losrecursos de su organización

CONSULTORÍA

GRC

Una plataforma madura para el manejo de la gestión del riesgo, seguridad y TI, Gestión Empresarial y Operativo, Gobernanza de Terceros y Gestión de Auditorías

AVISO DE PRIVACIDAD

SAYNET

Copyright © Derechos Reservados 2020