De acuerdo con el Informe de Respuesta a Incidentes 2022 elaborado por expertos de la Unit 42, de Palo Alto Networks, el ransomware y el correo electrónico empresarial comprometido (BEC) son las principales vulnerabilidades explotadas por los ciberdelincuentes. Basados en una muestra de más de 600 incidentes reportados en los últimos 12 meses, concluyeron que 70% correspondieron a ese tipo de casos. Entre las víctimas se encuentran organizaciones de atención a la salud.

«El “hacking como servicio” es cada vez más popular y accesible en la dark web», comentó Wendi Whitmore, directora de Unit 42. «Los atacantes de ransomware también se están volviendo más organizados. Tienen servicio al cliente y encuestas de satisfacción en sus interacciones con los ciberdelincuentes y las organizaciones víctimas».

Correo electrónico y phishing

●Ransomware: Cada cuatro horas se sabe de una nueva víctima de ransomware en sitios de filtraciones. La identificación temprana del ransomware es fundamental para las organizaciones. Por lo general, el ataque se descubren después de que se cifran los archivos y la organización víctima recibe una nota de rescate. Unit 42 ha identificado que el tiempo medio que los hackers pasan en un entorno objetivo antes de ser detectados es de 28 días.

Las demandas de rescate han llegado a 30 millones de dólares y los pagos reales ascienden a 8 millones de dólares. Además, las organizaciones afectadas también pueden esperar que los delincuentes amenacen con divulgar información confidencial si no se paga un rescate.

●Business Email Compromise: Los ciberdelincuentes utilizaron una variedad de técnicas de fraude electrónico que comprometen el correo electrónico empresarial. Tácticas de ingeniería social, como el phishing, ofrecen una manera fácil y rentable de obtener acceso encubierto con un bajo riesgo de ser descubierto.

Según el informe, en muchos casos, los ciberdelincuentes simplemente piden a sus objetivos que entreguen sus credenciales y contraseñas, obteniéndolas de esta manera. Una vez que tienen acceso, el tiempo promedio de permanencia de los ataques BEC fue de 38 días. La cantidad promedio robada fue de 286,000 dólares.

Hallazgos de Unit 42

Muchos de los atacantes son oportunistas: simplemente exploran la web en busca de sistemas con vulnerabilidades conocidas para poder aprovecharlas. Unit 42 identificó que entre las principales industrias afectadas en casos de respuesta a incidentes se encuentra la atención médica. Las organizaciones dentro de esta industria almacenan, transmiten y procesan grandes volúmenes de información confidencial monetizable que atrae a los ciberdelincuentes.

○Los tres principales vectores de acceso inicial utilizados por los actores de amenazas fueron el phishing, la explotación de vulnerabilidades de software conocidas y los ataques de credenciales de fuerza bruta centrados principalmente en el protocolo de escritorio remoto (RDP). Combinados, estos vectores de ataque constituyen el 77% de las causas raíz sospechadas de las intrusiones.

○Proxy Shell representó más de la mitad de todas las vulnerabilidades explotadas para el acceso inicial con un 55%. Lo siguen Log4J (14%), Sonic Wall (7%), Proxy Logon (5%) y Zoho Manage Engine AD Self Service Plus (4%).

○En la mitad de los casos de RI, los investigadores descubrieron que las organizaciones carecían de autenticación de dos pasos. Esto se refiere a sistemas importantes orientados a la Internet, como correo electrónico corporativo, red privada virtual (VPN) u otras opciones de acceso remoto.

○En 13% de los casos las organizaciones no contaban con mitigaciones para garantizar el bloqueo de cuentas en ataques de credenciales de fuerza bruta.

○El 28% de los casos fureron por procedimientos de administración con parches deficientes que contribuyeron al éxito de los ataques.

○En 44% de los casos las organizaciones no tenían una solución de seguridad de detección y respuesta de punto final o de detección y respuesta extendida. O bien, no estaban completamente implementadas en los sistemas inicialmente afectados para detectar y responder a actividades maliciosas.

○El 75% de los casos de amenazas internas involucraron a un exempleado.