La gran mayoría de los incidentes de seguridad cibernética patrocinados a nivel nacional toman la forma de espionaje a través de la filtración de datos, con el empleo frecuente de la herramienta de acceso remoto Plug-X, según el informe anual de amenazas de eSentire.
Emotet es el líder
El informe encontró que Emotet representaba casi el 20% de los incidentes de malware confirmados , lo que refuerza su papel en el mercado negro como la herramienta de entrega preferida. Emotet fue la amenaza más observada tanto en redes como en puntos finales, logrando este dominio a pesar de una pausa de mitad de año cuando los servidores de comando y control estaban inactivos.
A medida que el ecosistema del cibercrimen organizado continuó madurando en 2019, Emotet sigue siendo el líder del mercado oscuro para la entrega como servicio. Pero el malware básico, que está fácilmente disponible y se automatiza fácilmente, es solo parte de la historia de amenazas de 2019.
Abusar de la confianza cuando se trata del ciberespacio
El informe también examina el aumento en el abuso de confianza cuando se trata del ciberespacio: desde campañas de phishing que utilizan servicios en la nube de confianza para alojar kits y páginas hasta Emotet para recolectar correos electrónicos para luego responder a hilos y reutilizar temas y desde ataques de suplantación hasta proveedores de servicios gestionados comprometidos ( MSP) ), los actores de amenazas emplean una gama de estrategias y tácticas en constante evolución para evitar las defensas.
Hay una necesidad de confianza cero ya que los ciberdelincuentes perfeccionan cada vez más sus habilidades de ingeniería micro-social para explotar el círculo de confianza y las cadenas de suministro de sus víctimas objetivo.
Como se describe en el informe, las campañas de phishing dirigidas utilizaron servicios confiables en la nube para alojar kits de malware y sitios fraudulentos, y la recopilación de credenciales basada en Emotet para parasitar cuentas de correo electrónico legítimas y secuestrar hilos, reutilizar sujetos activos y hacerse pasar por fuentes confiables.
Los MSP también encabezaron la lista de aciertos criminales para eludir los controles de seguridad y la puerta trasera a los objetivos haciéndose pasar por proveedores de confianza.
Hallazgos adicionales
Los ataques manuales con el teclado están aumentando : los actores de amenazas recurren cada vez más a este tipo de ataques (particularmente ransomware), que requieren un esfuerzo manual y un objetivo de alto valor. El reciente ataque de Travelex alega tal compromiso.
Las “descargas automáticas” automatizadas y el “malware básico” continúan representando una amenaza, pero estos se están volviendo menos atractivos a medida que más empresas aumentan sus esfuerzos de seguridad cibernética.
Dominando las familias de ransomware : un número significativo de ataques exitosos de ransomware contra empresas, incluidos gobiernos, proveedores de servicios administrados y grandes empresas, se pueden atribuir a solo seis familias de ransomware .
Las industrias de la salud y la construcción son las más vulnerables a los ataques de phishing : mientras que la industria de la salud y los hospitales en su conjunto ha mejorado su resistencia frente a los ataques de malware de productos básicos, sigue siendo la más vulnerable, seguida de cerca por la construcción.
Los servicios en la nube están ganando terreno para las campañas de phishing : los servicios en la nube como Google y Microsoft Azure se están utilizando para alojar páginas maliciosas y servidores proxy confiables para redirigir a los usuarios. Los señuelos de phishing observados con mayor frecuencia son los servicios de correo electrónico, Microsoft Office 365 y los servicios financieros.
Keegan Keplinger, jefe de investigación de eSentire , dijo: “Una conclusión recurrente de los estudios de caso del informe es que los enfoques simplistas de seguridad pueden dejar vacíos peligrosos en las defensas de una organización.
“Como anécdota, hemos encontrado varios casos de organizaciones sorprendentemente grandes con datos valiosos e infraestructura crítica con poco más que un programa antivirus que se ejecuta en sus puntos finales antes de nuestro compromiso.
“Incluso la cobertura de red completa puede pasar por alto algo tan sencillo como que un atacante regrese a una organización con credenciales de phishing exitosas. Estas organizaciones parecen subestimar la sofisticación de los cibercriminales modernos , así como el valor que los datos tienen para ellos.
“Tener una visión estratégica de lo que los atacantes son capaces de hacer, qué tipo de herramientas están utilizando y cuán valiosos pueden ser sus datos e infraestructura es fundamental para comprender los límites que debe recorrer para protegerlos”.