Aumentan los ciberataques que comprometen el email corporativo
Los atacantes aprovechan credenciales de cuentas válidas y debilidades en la autenticación multifactor.
El compromiso del correo electrónico empresarial (BEC) fue la principal ciber-amenaza observada por Cisco Talos Incident Response (Talos IR) en el primer trimestre de 2024, representando casi la mitad de las interacciones, más del doble de lo observado en el trimestre anterior.
Para los ciber-delincuentes, la principal ventaja de estos ataques de phishing radica en que se hacen pasar por contactos fiables solicitando normalmente información o acciones de tipo financiero, evadiendo las defensas externas tradicionales y aumentando la probabilidad de engaño, infecciones masivas de malware y robo de datos.
Se ha comprobado que el acceso inicial más común se logró mediante credenciales comprometidas de cuentas válidas, representando el 29% de las interacciones. La alta cantidad de ataques BEC probablemente ha influido en que las cuentas válidas fueran el principal vector de ataque entre enero y marzo.
Cisco Talos también ha observado debilidades en la autenticación multifactor (MFA) en casi la mitad de las interacciones comprometidas. El principal fallo detectado fue que los usuarios aceptaron notificaciones automáticas no autorizadas, ocurriendo en el 25% de las interacciones.
Ransomware y sectores más atacados
Por su parte, el ransomware representó el 17% de los ataque detectados durante el trimestre, lo que supone una disminución del 11% frente al trimestre anterior. Talos IR observó nuevas variantes de los ransomware Akira y Phobos por primera vez. Por sectores, fabricación fue el principal objetivo del trimestre, seguido de cerca por educación y repitiendo así la tendencia observada durante el cuarto trimestre de 2023.
La actividad se completa con un aumento en los ataques dirigidos a servicios VPN, interfaces de autenticación de aplicaciones web y Secure Shell (SSH) a nivel mundial. Dependiendo del entorno de destino, un ataque exitoso podría resultar en un acceso no autorizado a la red corporativa, provocando posiblemente bloqueos de cuentas y denegación de servicio (DoS).