Calibración de expansión: Informe Anual de Ciberseguridad 2023

Los grupos de ransomware están trabajando de forma más inteligente en lugar de trabajar de forma más intensa: en 2023, se ha observado que varias familias maximizan el cifrado remoto e intermitente, además de abusar de máquinas virtuales no supervisadas para eludir la detección y respuesta de endpoints (EDR).

Cifrado remoto

Observado en

• Akira
• BlackCat
• BlackMatter
• LockBit
• Royal

Cifrado intermitente

Observado en

• NoEscape
• Ransomware Play
• BlackBasta
• Agenda
• BlackCat

Abuso de VM para eludir EDR

Observado en

• Akira
• BlackCat

Las pandillas también están lanzando ataques más audaces: los grupos prolíficos en ataques que fueron algunos de los más activos en 2023: Clop aprovechó vulnerabilidades importantes y BlackCat lanzó una nueva variante, al tiempo que estaba haciendo pública su extorsión aprovechando el requisito de divulgación de 4 días de la Comisión de Seguridad e Intercambio para incentivar a su víctima a comunicarse más rápidamente con ellos. También están haciendo cambios rápidos: Después de la caída de Qakbot, BlackBasta recurrió al Pikabot del afiliado Water Curupira para lanzar una campaña de spam.

Mientras tanto, el principal protagonista Cerber resurgió aprovechando la vulnerabilidad de Atlassian Confluence para desplegar su rutina, mientras que los ladrones de información anteriormente conocidos como RedLine y Vidar ahora también están liberando rutinas de ransomware, lo que sugiere que los agentes de amenazas detrás de ellas están diversificando sus técnicas. Si bien el pez gordo LockBit continuó lanzando ataques de alto perfil en 2023, la banda lucha por mantener su gloria anterior después de sufrir varios problemas logísticos, técnicos y de reputación; a medida que llegó el nuevo año, lanzaron una nueva versión en un esfuerzo por seguir siendo relevantes.

En 2023 continúa el espectacular aumento en los recuentos de amenazas globales bloqueadas de la Red de Protección Inteligente (SPN), alcanzando un nuevo pico en la tendencia alcista que comenzó a raíz de la pandemia. Una mirada más cercana a la tendencia a la baja en los filtros de detección temprana (Servicio de Email Reputation, Web Reputation) sugiere que los ciberdelincuentes podrían estar restando prioridad a objetivos más amplios para centrarse en una mejor infiltración, como se ve en el aumento continuo de las detecciones de endpoint (Servicio de File Reputation).

Las vulnerabilidades siguen siendo una gran preocupación para los SOC, ya que los titulares de 2023 mostraban el aprovechamiento de servicios legítimos de intercambio de archivos, mientras que los métodos confiables de verificación de credenciales, como la autenticación multifactor, pueden ser vulnerados, como en el caso de los ataques de EvilProxy. Los ciberdelincuentes también utilizan plataformas de mensajería conocidas, como Skype y Teams, en este caso DarkGate, para entregar scripts de carga VBA a las víctimas.

Mientras tanto, los agentes de amenazas están aprovechando procesos legítimos, como en el caso de AsyncRAT, que hace un uso indebido de aspnet_compiler.exe. Los ladrones de información RedLine y Vidar, así como un ataque que sugiere el regreso de Genesis Market, también están aprovechando la firma de código de EV para evadir las medidas de seguridad. Los datos personales y procesables, como las carteras criptográficas y las credenciales de correo y navegador, siguen siendo el objetivo principal de los ciberdelincuentes. Las tiendas de datos en la dark web seguirán siendo un elemento básico, con RedLine y Vidar llevando la cima en niveles de popularidad en condiciones reales. Las personas y las organizaciones deben maximizar las herramientas que les ayuden a mantener sus datos e identidad seguros a medida que la vida pospandemia lleva la mayoría de las transacciones a sistemas online.