Apenas estamos en 2022, y ya estamos viendo proliferar el ransomware. Lo que vimos el año pasado es que, si bien la mayoría de los ataques continúan explotando las vulnerabilidades conocidas, los ciberdelincuentes también han redoblado sus esfuerzos para apuntar a las nuevas, como lo que vimos con Hafnium y nuevas vulnerabilidades de Microsoft Exchange.
Esperamos que este año, como resultado de los ataques de alto perfil de 2021, muchas organizaciones finalmente dediquen tiempo a la higiene cibernética básica. Y a medida que continúan los esfuerzos para parchear las vulnerabilidades y exposiciones comunes (CVE) de uno a tres años que la mayoría de los ciberdelincuentes buscan explotar, lo más probable es que 2022 sea un año récord para la cantidad de CVE informados: más de 22,000, esperamos. Es probable que esto eleve aún más la marca de agua alta a medida que la superficie de ataque continúa expandiéndose. Y los atacantes comenzarán a usar esas vulnerabilidades nuevas o de día cero para apuntar rápidamente a organizaciones que no están preparadas.
Linux se está convirtiendo en un foco más grande
Estamos observando cambios que normalmente siguen a los avances tecnológicos oa las nuevas tendencias que surgen en el panorama de las amenazas. Por ejemplo, hace 10 años vimos un gran cambio al pasar de PC a dispositivos móviles y Android, lo mismo con IoT. También estamos viendo que Linux se está convirtiendo en un punto focal, en parte debido a IoT y botnets como Mirai, pero también lo estamos viendo en varios tipos de ataques. Las integraciones de Linux, como el subsistema de Windows para Linux, también están en el punto de mira, lo que genera una superficie de ataque mucho más amplia.
Muchos dispositivos IoT y aplicaciones de misión crítica que se ejecutan en soluciones basadas en contenedores ejecutan sistemas operativos Linux. Esto se debe principalmente a la popularidad de Docker y LXC en la nube y los sistemas operativos en tiempo real (RTOS) para dispositivos IoT e ICS. A medida que la popularidad de Linux ha crecido, también lo ha hecho su popularidad como objetivo de los malos actores. Los ataques contra los sistemas operativos Linux y las aplicaciones que se ejecutan en esos sistemas son tan frecuentes como los ataques contra los sistemas operativos Windows.
Además, Windows agregó más capacidades de tipo Linux, por lo que los mismos tipos de ataques se están volviendo más comunes en todas las plataformas, lo que facilita que los atacantes se dirijan a los sistemas Linux. La mayoría de los defensores no están acostumbrados a mantenerse al día con Linux desde un punto de vista defensivo y de análisis de malware como lo están con Windows. Los sistemas Linux también son entornos ricos en datos, lo que permite a los atacantes perseguir cosas como credenciales SSH, certificados y nombres de usuario y contraseñas de aplicaciones. Además, hay muchas bases de código diferentes, incluidos núcleos personalizados y configuraciones que pueden crear complejidad. Mejorar la educación sobre Linux y otros sistemas operativos es clave para defenderse de estos ataques.
Los ataques a infraestructuras críticas aumentan y evolucionan
El término “killware” se ha utilizado para describir algunos de los ataques recientes contra infraestructuras críticas, que van en aumento. Estos ataques no están codificados explícitamente para perseguir vidas humanas per se, pero son ataques contra los sistemas médicos y de salud con efectos perjudiciales en personas reales, de ahí el término. Los ataques contra la infraestructura crítica difieren de las vulnerabilidades de ransomware regulares debido al impacto directo que pueden tener en la gente común. Conocen el riesgo, por lo que están usando esto para acelerar el reloj en los pagos de rescate.
Esto también fue evidente en los ataques Colonial Pipeline y DarkSide. Los ciberdelincuentes están cambiando el uso de la estrategia en estos ataques de ransomware; además, los ataques están cada vez más conectados en lugar de solo la organización interna y sus partes interesadas directas. Estamos viendo la convergencia de amenazas persistentes avanzadas (APT) y ciberdelincuencia, y cuando piensa en lo que significa el acrónimo APT, sugiere sofisticación y un tipo de ciclo de ataque más premeditado y dirigido. A esto lo llamamos "delito cibernético persistente avanzado" o APC, y definitivamente vamos a ver más.
A medida que los atacantes de ransomware dirigen su atención a la infraestructura crítica, su impacto en la población en general se vuelve más claro: malware que interrumpe hospitales, tuberías, plantas de tratamiento de agua y, por supuesto, sistemas de TI y OT. La forma en que todos estos sistemas están integrados con la infraestructura crítica significa que los ataques o interrupciones en estos sistemas afectan la vida de las personas. La creciente preocupación es que el malware se está alejando de objetivos más pequeños y se está moviendo hacia algo que puede afectar el mundo físico a mayor escala. Necesitamos estar más atentos al riesgo potencial que un ataque cibernético puede tener no solo para la organización, sino también para la comunidad más amplia de víctimas.
Derrotar las tendencias de ataque en evolución
Para mantenerse a la vanguardia del mundo en constante evolución de los ataques de ransomware, las organizaciones deben actualizar sus defensas. Mantener a los empleados actualizados sobre las técnicas estándar de ataques cibernéticos puede mejorar efectivamente la postura de seguridad general de una organización. Establecer una estrategia de seguridad efectiva que incluya acceso de confianza cero, segmentación y microsegmentación puede ayudar a prevenir ataques de ransomware y proteger sus datos. Además, la copia de seguridad periódica de los datos y el almacenamiento fuera de línea y fuera de la red pueden proporcionar copias de seguridad para una recuperación rápida si es necesario.
Además, esté atento a las tendencias de los ataques y utilice los datos compartidos para identificar cualquier patrón de comportamiento. Los ciberdelincuentes a veces usan la misma técnica porque las vulnerabilidades permanecen sin parches o pasan desapercibidas.
Cerrando las brechas
El software delictivo continuará expandiéndose en el futuro previsible, y los delincuentes seguirán usando ransomware dondequiera que puedan. Agregar una "bomba de relojería" de malware de limpiaparabrisas a sus tácticas de rescate, que no solo podría arruinar los datos sino también destruir los sistemas y el hardware, crea una urgencia adicional. El malware Wiper ya ha tenido un regreso visible, apuntando a los Juegos Olímpicos de Tokio, por ejemplo.
Esto podría ser muy destructivo para los entornos de borde emergentes, la infraestructura crítica y las cadenas de suministro. Las organizaciones deben permanecer hipervigilantes y actualizar sus defensas lo más completa y rápidamente posible. También necesitan actualizar la higiene cibernética de sus empleados y el conocimiento de los tipos de ataque. Utilice las otras mejores prácticas mencionadas anteriormente para crear un enfoque de seguridad holístico que cierre todas las brechas y ayude a evitar que su organización sufra ataques de killware y otros ataques destructivos.
Derek Manky es jefe de Security Insights y Global Threat Alliances en Fortinet Laboratorios FortiGuard. Derek formula la estrategia de seguridad con más de 15 años de experiencia en ciberseguridad a sus espaldas. Su objetivo final es tener un impacto positivo en la guerra global contra el ciberdelito. Manky brinda liderazgo de pensamiento a la industria y ha presentado investigaciones y estrategias en todo el mundo en conferencias de seguridad de primer nivel. Como experto en seguridad cibernética, su trabajo incluye reuniones con figuras políticas destacadas y partes interesadas clave en las políticas, incluida la aplicación de la ley. Participa activamente en varias iniciativas de inteligencia de amenazas globales, incluido el NICP de la OTAN, el Grupo de trabajo de expertos de INTERPOL, el comité de trabajo de Cyber Threat Alliance (CTA) y FIRST, todo en un esfuerzo por dar forma al futuro de la inteligencia de amenazas procesable y la estrategia de seguridad proactiva.
Tags:
