En el cambiante ámbito de la ciberseguridad, mantenerse al tanto de las amenazas emergentes es crucial para proteger a individuos y organizaciones de actores maliciosos. El informe proporcionado por SentinelOne ofrece una visión completa de las principales amenazas y tendencias de ciberseguridad observadas en el 2023, arrojando luz sobre las tácticas, técnicas y grupos detrás de estas actividades nefastas. En la vanguardia de estas amenazas se encuentra una entidad notoria conocida como «The Com», una comunidad en línea compuesta por hackers, jugadores y diversos individuos con intenciones maliciosas. A lo largo del 2023, The Com orquestó numerosos ciberataques de alto perfil, dejando a su paso una estela de interrupción y pérdida financiera. Uno de los aspectos más alarmantes de las operaciones de The Com es su adaptabilidad, debido a que continuamente evoluciona sus tácticas para eludir medidas de seguridad y explotar vulnerabilidades. Una táctica significativa empleada por The Com y sus subgrupos es el intercambio de SIM, una técnica utilizada para obtener acceso no autorizado a cuentas de criptomonedas y eludir la autenticación de múltiples factores. Este método destaca la sofisticación del grupo y su disposición para explotar debilidades en los protocolos de seguridad digital. Además, The Com ha pasado a ingeniar socialmente a trabajadores para desplegar malware y ransomware, representando una amenaza significativa tanto para organizaciones como para individuos. De particular preocupación es la afiliación de The Com con grupos de ransomware como Star Fraud, que rápidamente se hizo famoso después de asociarse con el grupo de ransomware ALPHV/BlackCat. Estas colaboraciones han llevado a un aumento en los ataques de ransomware dirigidos a organizaciones, con Lockbit emergiendo como uno de los grupos de ransomware más activos del 2023. Las actividades mensuales de estos grupos, marcadas por picos en mayo, subrayan la urgencia de abordar las amenazas de ransomware. Además, se realiza profundización en varios otros aspectos de las amenazas cibernéticas, incluida la explotación de vulnerabilidades, el abuso de herramientas y las técnicas empleadas por los actores de amenazas. La prevalencia de ataques de carga lateral de DLL, controladores dirigidos y métodos de elusión de EDR resalta la sofisticación de los ciberdelincuentes y los desafíos enfrentados por los profesionales de la ciberseguridad para mitigar estas amenazas.
Una mirada hacia el 2024, entrega predicciones sobre las principales amenazas de ciberseguridad, enfatizando la necesidad de medidas proactivas para mitigar riesgos y salvaguardar la infraestructura digital. Con los ciberataques volviéndose cada vez más sofisticados y omnipresentes, la colaboración entre los sectores público y privado será esencial para abordar las amenazas emergentes y protegerse contra futuros ataques. El año 2023 presenció una serie de desarrollos significativos en el panorama del ransomware, marcando un punto de inflexión en la lucha contra este tipo de ciberataques. Estos acontecimientos clave reflejan tanto la evolución de las tácticas de los ciberdelincuentes como los esfuerzos de las autoridades internacionales para combatir esta creciente amenaza. Siendo así, uno de los hitos más destacados fue la formación de una alianza liderada por Estados Unidos, que contó con la participación de cuarenta países comprometidos a no pagar rescates a ciberdelincuentes, con el objetivo de eliminar una fuente crucial de financiamiento para los hackers. Sin embargo, a pesar de estos esfuerzos, el monto promedio de los rescates pagados aumentó significativamente a $1.6 millones, en comparación con los $272,000 del año anterior, lo que subraya la rentabilidad y la creciente sofisticación de los ataques de ransomware. El grupo ALPHV/BlackCat fue pionero al presentar quejas ante la Comisión de Bolsa y Valores (SEC) contra víctimas que se negaron a pagar, llevando la extorsión a nuevos niveles. Mientras tanto, Europol y Eurojust lanzaron una iniciativa para interrumpir las operaciones del grupo de ransomware RagnarLocker, en un esfuerzo por desmantelar sus actividades criminales. En el ámbito de la aplicación de la ley, el Departamento de Justicia de Estados Unidos lideró una coalición para interrumpir la variante de ransomware Hive, mientras que Europol y Eurojust colaboraron a nivel internacional para desarticular un prolífico grupo de ransomware en Ucrania, responsable del uso de múltiples cepas de ransomware como LockerGoga, MegaCortex, Hive y Dharma. Adicionalmente, las fuerzas del orden de Estados Unidos lograron desmantelar con éxito el mercado Genesis, lo que resultó en 119 arrestos vinculados a una unidad del FSB ruso. La herramienta del FBI también interrumpió el malware Snake, aunque los actores detrás de ALPHV/BlackCat lanzaron un sitio web alternativo que sigue operativo. En cuanto a los objetivos de los ataques, Estados Unidos lideró la lista con más del 54% de los ataques globales, seguido de cerca por el Reino Unido. Las industrias más afectadas fueron la manufactura, tecnología de la información/ingeniería/tecnología, finanzas, salud y educación, lo que refleja la diversidad de sectores vulnerables a los ataques de ransomware. Además, los ataques de ciberespionaje por parte de naciones como China, Rusia, Corea del Norte e Irán aumentaron en sofisticación, comprometiendo a miles de organizaciones a través de ataques a la cadena de suministro. Los grupos de amenazas persistentes avanzadas más activos en 2023 fueron Red Delta de China, Lazarus de Corea del Norte, OilRig de Irán, Sandman probablemente de China y Arid Viper con intereses alineados con Hamas de Palestina.
Por otra parte, el año 2023 no estuvo exento de desafíos y vulnerabilidades en el ecosistema de dispositivos Mac. Una serie de amenazas pusieron a prueba la seguridad de estos sistemas operativos. Entre ellas, destacan cinco principales riesgos identificados durante el año: AdLoad, Bundlore, AtomicStealer, Pirrit y Proxy Agents. AdLoad es un cargador de adware y bundleware diseñado para inundar los dispositivos con publicidad no deseada. Por su parte, Bundlore, un adware con capacidades de backdoor desde 2015, permitió el acceso remoto no autorizado al sistema. AtomicStealer emergió como un infostealer capaz de robar contraseñas, datos de navegadores y carteras de criptomonedas. En tanto, Pirrit operó como un adware y secuestrador de navegadores, buscando redirigir búsquedas para generar ingresos mediante publicidad. Finalmente, Proxy Agents, distribuidos por Bundlore, habilitaron actividades maliciosas, comprometiendo la seguridad del sistema. De estas amenazas, Bundlore fue la más detectada, representando el 93.2% de las detecciones, seguida por AdLoad, Pirrit, AtomicStealer y Proxy Agents. Más allá de estas preocupaciones específicas, el año 2023 destacó por diversos temas de ciberseguridad. Se identificaron los formatos de archivo no PE más utilizados maliciosamente, las plataformas de intercambio de archivos abusadas para exfiltrar datos, así como los binarios «living off the land» más empleados por los atacantes. Además, se analizaron los lenguajes de programación multiplataforma asociados a ransomware y malware, junto con ejemplos de ataques de DLL side-loading realizados por diversos grupos de amenazas. En cuanto a la evasión de detección, se observó un aumento en el uso de herramientas y técnicas de bypass de EDR, como Mhydeath/EDRSandBlast, Chimera, RealBlindingEDR, BadRentdrv2 y Mhyprot2DrvControl; se destacaron eventos clave, como el abuso de una vulnerabilidad en IBM Aspera Faspex por parte del ransomware IceFire, y la aparición de un criptominero para MacOS llamado Honkbox.
El año 2023 estuvo marcado por una serie de ciberataques que sacudieron la seguridad cibernética en diversas industrias y sectores. Estos incidentes ilustran la constante amenaza que enfrentan las organizaciones en el ciberespacio y la necesidad de una vigilancia constante para mitigar riesgos. Un repaso muestra que en marzo, los actores de amenazas llevaron a cabo un ataque de cadena de suministro contra la empresa de VoIP 3CX, al trojanizar su aplicación de escritorio. Esto comprometió a usuarios de 3CX en todo el mundo y permitió la exfiltración de datos del navegador. Lo notable de este ataque fue que 3CX, a su vez, fue víctima de un ataque de cadena de suministro a través de un software comprometido llamado X_TRADER, lo que lo convirtió en el primer «doble ataque de cadena de suministro». En abril, se observó que los actores de amenazas explotaban vulnerabilidades en el software de gestión de impresión PaperCut. Estas vulnerabilidades permitieron que se instalara software de acceso remoto en las organizaciones víctimas, con especial incidencia en el sector educativo. En mayo, tras una reunión del G7, actores de amenazas chinos distribuyeron documentos maliciosos que pretendían estar relacionados con la reunión. Estos documentos aprovecharon la vulnerabilidad CVE-2017-11882 en Microsoft Office para ejecutar código remoto, con el objetivo aparente de espionaje cibernético dirigido a funcionarios gubernamentales de varios países. En otro frente, los cazadores de amenazas de WatchTower observaron una serie de incidentes de malware y ataques cibernéticos a lo largo del año. En junio, múltiples actores de amenazas explotaron una falla de inyección SQL en el servicio de transferencia de archivos MOVEit, afectando a más de 2,600 organizaciones y 77 millones de personas. La banda Cl0p apuntó a esta vulnerabilidad, así como a otras como Accellion FTA y SolarWinds Serv-U. En julio, WatchTower investigó siete intrusiones que involucraron al ransomware Mallox, accediendo a servidores SQL a través de exploits y descargando malware adicional como PurpleFox para establecer persistencia y escalar privilegios. En agosto, el ransomware Akira explotó una vulnerabilidad en la puerta de enlace VPN de Cisco para acceder inicialmente a las redes, siendo el primer caso identificado por WatchTower. Y en septiembre, se observó al cargador de malware IDAT entregando varios infostealers al almacenar cargas maliciosas en el chunk IDAT de archivos PNG y luego descomprimir e inyectar el shellcode. En octubre, el ransomware TellYouThePass aprovechó la vulnerabilidad CVE-2023-46604 de Apache ActiveMQ para atacar los endpoints de Windows y Linux, empleando técnicas de cifrado sólidas en su ransomware.
Los conocimientos proporcionados ofrecen valiosos insights sobre el paisaje de ciberseguridad en constante evolución, destacando la necesidad de defensas robustas y estrategias proactivas para combatir amenazas emergentes. Al mantenerse informadas y adoptar un enfoque proactivo hacia la ciberseguridad, las organizaciones pueden mitigar efectivamente los riesgos y protegerse contra posibles ciberataques en los años venideros. Así, los desarrollos en el paisaje del ransomware en 2023 destacan la creciente complejidad y gravedad de esta amenaza cibernética, así como los esfuerzos concertados de la comunidad internacional para combatirla. A medida que nos adentramos en un nuevo año, la colaboración continua entre gobiernos, empresas y organismos de aplicación de la ley será crucial para mitigar el impacto del ransomware y proteger la seguridad cibernética global. En el registro del año 2023 queda una serie de desafíos y tendencias significativas en el panorama de la ciberseguridad para dispositivos Mac. Con el aumento de la sofisticación de las amenazas, es crucial para los usuarios y las organizaciones mantenerse informados y tomar medidas proactivas para protegerse contra posibles ataques cibernéticos, de igual forma, las acciones sobre los ciberataques resaltan la importancia de la vigilancia constante y la adopción de medidas proactivas para protegerse contra las amenazas cibernéticas, subrayando la necesidad de una respuesta rápida y efectiva para salvaguardar la seguridad cibernética en todas las áreas.
Para leer más ingrese a:
https://www.sentinelone.com/global-services/watchtower/