Los vectores de infección se dividieron equitativamente entre phishing, explotación de vulnerabilidades y uso de credenciales no autorizadas en 2019.
Los ataques de phishing son cada vez menos populares a medida que los ciberdelincuentes aprenden que no necesitan manipular objetivos para obtener acceso a sus cuentas. En cambio, están entrando con credenciales robadas y vulnerabilidades conocidas, las cuales son más difíciles de detectar para las víctimas empresariales.
Esta tendencia es una de las más destacadas en el "Índice de inteligencia de amenazas X-Force 2020" de IBM, que tiene como objetivo proporcionar una visión general del panorama de amenazas para los profesionales de la seguridad, a menudo atrapados en las malas hierbas de las alertas diarias. El informe enfatiza los vectores de ataque populares de hoy, la evolución del malware, las fallas comúnmente explotadas y la actividad intensificada contra la tecnología operativa.
El phishing representó el 31% de los ataques en 2019, una caída notable de aproximadamente la mitad de los ataques del año anterior, según el informe. Las vulnerabilidades de vulnerabilidades conocidas se ubicaron en segundo lugar, aumentando de 8% en 2018 a 30% en 2019. En tercer lugar, hubo incidentes con credenciales robadas, una técnica muy cercana al 29% de los ataques.
"Desde una perspectiva de respuesta, esas son generalmente más difíciles de detectar para las organizaciones", dice Wendi Whitemore, vicepresidenta de IBM X-Force Threat Intelligence, de las últimas dos tácticas.
Tampoco son difíciles de llevar a cabo por los atacantes. Idealmente, todas las empresas habrán parcheado todos los sistemas, continúa Whitemore, pero "la realidad es que la mayoría de las organizaciones están luchando". Hasta la fecha, se han revelado más de 150,000 vulnerabilidades, informa IBM. Las fallas en Microsoft Office y el Bloque de mensajes de Windows Server seguían viendo "tasas alarmantes" de explotación en 2019.
Los atacantes son especialmente aficionados a la falla de ejecución remota de código CVE-2017-0199 y CVE-2017-11882, que era un favorito mecanismo de entrega en el segundo y tercer trimestre de 2019. Ambos tienen parches y representan casi el 90% de los defectos que los atacantes intentaron explotar mediante campañas de spam.
Aquellos que elijan ingresar usando credenciales robadas no encontrarán escasez de ellos. En 8.5 se expusieron más de 2019 mil millones de registros, al menos el triple de la cantidad comprometida en 2018. Gran parte de esto se debió a configuraciones incorrectas, que aumentaron casi diez veces en el mismo marco de tiempo y constituyeron el 86% de los registros comprometidos en 2019. El año pasado trajo una disminución en el número total de configuraciones erróneas, lo que indica que cada una expuso más datos.
"Hay tantos datos que los atacantes pueden aprovechar", dice Whitmore, y es fácil y barato obtenerlos. Las credenciales a menudo se roban de sitios web de terceros o se toman en un ataque de phishing contra una empresa objetivo. Ayudan a los atacantes a mezclarse con el tráfico legítimo y los hacen más difíciles de encontrar.
El ransomware aumenta a medida que el malware cambia
Alrededor de la mitad de los ataques que IBM observó en la primera mitad de 2019 estaban relacionados con el ransomware, en comparación con el 10% en la segunda mitad de 2019. El cuarto trimestre de 2019 trajo un aumento del 67% en los incidentes de ransomware en comparación con el cuarto trimestre del año anterior. . Atributo de los investigadores el aumento al aumento de atacantes y campañas dirigidas a una variedad de organizaciones en 2019; en particular, municipal y la salud los proveedores fueron atrapados sin preparación.
Los atacantes a menudo usan descargadores como Emotet o Trickbot para implementar ransomware en un sistema de destino. A partir de ahí, usan múltiples etapas para infectar a las víctimas, una técnica que les da un mejor control sobre el sistema para evadir la detección y los controles y convencer a las víctimas de que paguen.
Los datos de Intezer, que trabajaron con IBM X-Force en el informe, indican que los atacantes están invertidos en desarrollar un nuevo código para expandir sus capacidades. En 2019, hubo un fuerte enfoque en la evolución de las bases de códigos de troyanos bancarios y ransomware al construir cepas de criptominer.
Los troyanos bancarios tuvieron el nivel más alto de código nuevo (45%) en 2019, seguido de ransomware (36%). Los investigadores creen que estas familias de malware apuntarán a los usuarios empresariales en 2020. "[Esta actividad] significa que los atacantes dedican tiempo a reconstruir el código, reconstruir la infraestructura, porque estos ataques son muy efectivos", explica Whitmore.
La mayoría de estos cambios en el código no son significativos, agrega. Los atacantes tratan principalmente de evadir la detección, por lo que harán una "solución rápida y barata" para que el código pase por alto las herramientas de seguridad. Aún así, su inversión en el cambio de código probablemente significa que veremos estos ataques durante mucho tiempo.
Orientación de tecnología operativa
Los datos de IBM X-Force muestran un aumento del 2,000% en incidentes dirigidos a tecnología operativa (OT) desde 2018, lo que podría indicar un mayor interés en atacar sistemas de control industrial (ICS) en 2020. La mayoría de estos incidentes aprovecharon una combinación de fallas conocidas en SCADA y hardware de ICS, además de ataques de rociamiento de contraseñas que utilizan el inicio de sesión de fuerza bruta contra objetivos de ICS.
Los investigadores informan la superposición entre la infraestructura OT y TI; Por ejemplo, los controladores lógicos programables (PLC) y los ICS representaban un riesgo para las empresas que confiaban en estas infraestructuras en 2019. Explican que este tipo de infraestructura híbrida permite que los ataques a TI también apunten a dispositivos OT que controlan activos físicos. Esto puede aumentar significativamente el costo de recuperación de un ataque.
"Hay más sistemas que la conciencia de esos sistemas", dice Whitmote de los entornos OT. "Hay más de ellos por ahí ahora ... y esa es un área que nos preocupa mucho". Ella anticipa que veremos una superficie de ataque más amplia a medida que los delincuentes se aprovechen.
Contenido relacionado:
Kelly Sheridan es la editora de personal de Dark Reading, donde se especializa en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que trabajó anteriormente para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas ... Ver Biografía completa
Más Información
