Las intenciones políticas y económicas de los ciberdelincuentes
Las tendencias de las amenazas mundiales revelan una nueva perspectiva sobre el comercio mundial y el atractivo de la perturbación de las elecciones.
Fortinet, líder global en soluciones de ciberseguridad automatizadas e integradas, ha desvelado hoy las conclusiones de su último Índice Global de Amenazas de FortiGuard Labs. El Índice destaca que los ciberdelincuentes no solo siguen explotando cualquier oportunidad en la infraestructura digital, sino que también están aprovechando al máximo las realidades económicas y políticas mundiales para seguir haciendo realidad sus objetivos.
Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs ha destacado que “en la carrera armamentista cibernética, la comunidad criminal ha tenido a menudo una clara ventaja debido a la creciente brecha en las habilidades cibernéticas, la expansión de la superficie de ataque digital, y el aprovechamiento del elemento sorpresa con tácticas como la ingeniería social. Para adelantarse al ciclo de amenazas cada vez más sofisticadas y automatizadas, las organizaciones necesitan utilizar el mismo tipo de tecnologías y estrategias para defender sus redes que las que usan los delincuentes para atacarlas. Eso implica la adopción de plataformas integradas que aprovechen el poder y los recursos de la inteligencia de amenazas impulsada por la inteligencia artificial y los playbooks para permitir la protección y la visibilidad en toda la infraestructura digital”.
Una de las conclusiones extraídas del Índice de Fortinet correspondiente al Q4 de 2019, cabe destacar que las tendencias mundiales demuestran que la prevalencia y la detección de las amenazas pueden diferir según la geografía, pero la sofisticación y la automatización de los ataques siguen siendo constantes en todas partes. Además, la necesidad de dar prioridad a la higiene de la ciberseguridad sigue siendo urgente en todo el mundo, ya que las amenazas están aumentando más rápidamente que nunca.
Las 5 tendencias en ciberamenazas:
1) Un gatito no tan encantador: En el cuarto trimestre el índice registró niveles significativos de actividad en las regiones asociadas a Charming Kitten, un grupo de amenazas persistentes avanzadas (APT) vinculado a Irán. Activo desde aproximadamente 2014, el actor de la amenaza ha sido asociado con numerosas campañas de ciberespionaje. La actividad reciente sugiere que ha estado presente en la interrupción de las elecciones, habiendo estado vinculado a una serie de ataques a cuentas de correo electrónico específicas asociadas con una campaña de elecciones presidenciales. Además, se observó que Charming Kitten empleaba cuatro nuevas tácticas contra sus víctimas, todas ellas concebidas para engañarles y que ofrecieran información confidencial.
2) Aumentan los riesgos de seguridad para dispositivos IoT: Los dispositivos IoT siguen siendo desafiados por los exploits de software y estas amenazas pueden afectar, de forma inesperada, a dispositivos como las cámaras IP inalámbricas. Esta problemática se expande si los componentes y el software se integran en diferentes dispositivos comerciales vendidos bajo una gran variedad de marcas, a veces por diferentes proveedores. Muchos de estos componentes y servicios se programan a menudo utilizando piezas de código pre-escrito de una variedad de fuentes comunes. Estos componentes comunes y el código pre-escrito son a veces vulnerables al exploit, razón por la cual podemos ver las mismas vulnerabilidades en una amplia gama de dispositivos. La escalabilidad combinada con la incapacidad de parchear fácilmente estos dispositivos es un desafío creciente, y pone de relieve las dificultades de la seguridad de la cadena de suministro. La falta de conocimiento o disponibilidad de parches, la prevalencia de vulnerabilidades en algunos dispositivos IoT y los intentos documentados de "esclavizar" estos dispositivos en redes de bots contribuyeron a que estos exploits ocuparan el tercer puesto, por volumen, de todas las detecciones de IPS durante el trimestre.
3) Las amenazas de los mayores ayudan a las de los jóvenes: En medio de la constante presión por adelantarse a las nuevas amenazas, las organizaciones a veces olvidan que los antiguos explotis y vulnerabilidades realmente no tienen fecha de caducidad, y los agentes de la amenaza seguirán utilizándolas mientras funcionen. Un ejemplo de ello es EternalBlue. El malware se ha ido adaptando a lo largo del tiempo para explotar vulnerabilidades comunes. Se ha utilizado en numerosas campañas, entre las que destacan los ataques de ransomware de WannaCry y NotPetya. Además, el pasado mes de mayo se publicó un parche para BlueKeep, una vulnerabilidad que tenía el potencial de propagarse a la misma velocidad y escala que WannaCry y NotPetya. Y ahora, una nueva versión del troyano EternalBlue Downloader apareció el pasado trimestre con la capacidad de explotar la vulnerabilidad de BlueKeep. Afortunadamente, la actual versión no está completamente neutralizada, lo que obliga a los dispositivos objetivo a bloquearse antes de cargar. Pero si observamos el ciclo de desarrollo tradicional del malware, es probable que determinados ciberdelincuentes dispongan de una versión funcional de este potencialmente devastador paquete de malware en un futuro próximo. Y aunque desde mayo hay disponible un parche para BlueKeep, todavía hay demasiadas organizaciones que no han actualizado esta vulnerabilidad en sus sistemas. El interés continuo y en evolución de los actores de las amenazas en EternalBlue y BlueKeep es un recordatorio para que las organizaciones se aseguren de que sus sistemas estén debidamente parcheados y protegidos contra ambas amenazas.
4) Las tendencias demuestran una nueva perspectiva en el comercio mundial del spam: El spam sigue siendo uno de los principales problemas de las organizaciones y los individuos. El informe de este trimestre combina el volumen de flujo de spam entre las naciones con datos que muestran las ratios de spam enviado vs. spam recibido, revelando visualmente una nueva perspectiva sobre un viejo problema. La mayoría del volumen de spam parece seguir las tendencias económicas y políticas. Por ejemplo, los "socios comerciales de spam" más importantes de los Estados Unidos son Polonia, Rusia, Alemania, Japón y Brasil. Además, en términos de volúmenes de spam exportados desde regiones geográficas, Europa del Este es el mayor productor neto de spam del mundo. La mayoría de los emisores de spam provienen de las subregiones asiáticas. Las subregiones europeas restantes encabezan la lista de las que tienen proporciones negativas netas de correo basura, ya que reciben más de lo que envían, seguidas de América y África.
5) Rastrear las pistas de los cibercriminales para determinar lo que vendrá: El examen de los disparadores de IPS detectados en una región no solo muestra los recursos que se están atacando, sino que también puede indicar en qué podrían centrarse los ciberdelincuentes en el futuro, ya sea porque suficientes de esos ataques tuvieron éxito en última instancia, o simplemente porque hay más de un determinado tipo de tecnología desplegada en algunas regiones. Pero eso no siempre es así. Por ejemplo, la gran mayoría de las implementaciones de ThinkPHP están en China, que tiene casi 10 veces más instalaciones que los EE. UU., según shodan.io. Suponiendo que las empresas parcheen su software más o menos al mismo ritmo en cada región, si una red de bots simplemente buscara instancias vulnerables de ThinkPHP antes de desplegar un exploit, el número de disparadores detectados debería ser mucho mayor en Asia-Pacífico (APAC). Sin embargo, en todo APAC se detectaron sólo un 6% más de disparadores IPS que en Norteamérica a partir de un exploit reciente, lo que indica que esas redes de bots están simplemente desplegando el exploit en cualquier instancia de ThinkPHP que encuentren. Además, cuando se examina de manera similar la detección de malware, la mayoría de las amenazas dirigidas a las organizaciones son macros de Visual Basic for Applications (VBA). Es probable que esto se deba a que siguen siendo eficaces y dando resultados. En general, las detecciones de cosas que no funcionan no permanecerán altas por mucho tiempo y si hay una cantidad significativa de detecciones de algo, alguien está cayendo presa de estos ataques.
La necesidad de una seguridad amplia, integrada y automatizada
A medida que proliferan las aplicaciones y el número de dispositivos conectados amplía el perímetro, se están creando miles de millones de nuevos perímetros que deben ser gestionados y protegidos. Además, las organizaciones se enfrentan a una sofisticación cada vez mayor de los ataques dirigidos contra la infraestructura digital en expansión, incluidos algunos impulsados por la inteligencia artificial y el aprendizaje automático. Para asegurar eficazmente sus redes distribuidas, las organizaciones tienen que pasar de proteger solo los perímetros de seguridad a proteger los datos distribuidos en sus nuevos perímetros de red, los usuarios, los sistemas, los dispositivos y las aplicaciones críticas. Solo una plataforma de ciberseguridad diseñada para proporcionar una visibilidad y protección completas en toda la superficie de ataque -incluyendo dispositivos, usuarios, endpoints móviles, entornos multi-nube e infraestructuras SaaS- es capaz de asegurar las redes actuales de rápida evolución impulsadas por la innovación digital.
