La compañía de ciberseguridad Fortinet ha publicado la última entrega de su Índice global de amenazas, un informe que analiza la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de esta compañía diseminados por todo el mundo durante el primer semestre de 2020. Los datos de investigación abarcan perspectivas globales y regionales así como tres aspectos centrales y complementarios: exploits, malware y botnets.
"En los primeros seis meses del 2020 hemos sido testigos de un panorama de ciberamenazas sin precedentes. La dramática escalada y la rápida evolución de los métodos de ataque demuestran la agilidad de los cibercriminales para adaptar rápidamente sus estrategias con el fin de maximizar el momento actual marcado por la pandemia", ha advertido Derek Manky, Chief, Security Insights & Global Threat Alliances en FortiGuard Labs.
"Nunca ha sido tan evidente el porqué las organizaciones necesitan ajustar sus estrategias de defensa a futuro en un entorno en el que el perímetro de la red se extiende hasta el hogar. Es fundamental que las organizaciones tomen medidas para proteger a sus teletrabajadores", ha agregado Derek Manky .
Conclusiones del Índice Global de Amenazas de Fortinet
Según ha destacado Fortinet, las principales conclusiones que ha extraído de su Índice Global de Amenazas son:
- Durante el primer semestre de 2020, la inteligencia de amenazas de FortiGuard Labs ha puesto en evidencia el drástico incremento del cibercrimen en la pandemia, una ocasión aprovechada por ciberdelincuentes y por determinadas naciones para implementar múltiples y variados ciberataques en todo el mundo. Gracias a su capacidad de adaptación, pudieron producir oleadas de ataques dirigidos a "explotar" el miedo y la incertidumbre por los acontecimientos actuales, así como el inusual número de teletrabajadores fuera de la red corporativa, lo que rápidamente amplió la superficie de los ataques digitales.
- Aunque la pandemia ha sido el "gancho" de muchas amenazas, ha habido otras que tenían sus propias motivaciones. Por ejemplo, el ransomware y los ataques dirigidos a los dispositivos IoT, así como a la tecnología operativa (OT) no han disminuido, sino que están evolucionando para ser más selectivos y sofisticados.
- A nivel global, la mayor parte de las amenazas se producen en todo el mundo y en todas las industrias, con alguna diferenciación regional o vertical. De modo similar a la pandemia, una determinada amenaza que podría haberse iniciado en una zona, se extiende casi por todas partes.
Aprovechan los acontecimientos mundiales para atacar
Los ciberdelincuentes siempre se han aprovechado de los temas de actualidad para convertirlos en sus cebos de ingeniería social, pero con la pandemia han alcanzado otro nivel.
Desde los oportunistas phishers hasta las confabulaciones de algunas naciones, los cibercriminales han descubierto múltiples formas de explotar la pandemia global a gran escala para su propio beneficio.
Prueba de ello es que se han detectado ataques de phishing y de correos electrónicos comprometidos, campañas respaldadas por una nación y ataques ransomware. La táctica era maximizar la naturaleza global de una pandemia que afectaba a todo el mundo combinada con una superficie de ataque digital ampliada. Estas tendencias evidencian lo rápido que los atacantes pueden moverse para sacar partido de los grandes acontecimientos con un amplio impacto social a nivel mundial.
El perímetro de la red se ha extendido hasta el hogar
El auge del teletrabajo provocó que la actividad de las redes corporativas se disparara de un día para otro y los ciberdelincuentes supieron aprovecharse de esta situación.
Durante la primera mitad de 2020, los intentos de exploit contra routers y dispositivos IoT de carácter doméstico se situaron a la cabeza de la lista de detecciones de IPS.
Además, Mirai y Gh0st dominaron las detecciones de redes de bots más frecuentes, impulsadas por un aparente interés de los atacantes por las vulnerabilidades antiguas y nuevas de los productos IoT domésticos.
Respecto a estas tendencias, Fortinet subraya que son dignas de mención porque evidencian cómo el perímetro de la red se ha extendido hasta el hogar y cómo los ciberdelincuentes que tratan de afianzarse en las redes de las empresas explotan dispositivos que los trabajadores remotos podrían utilizar para conectarse a las redes de sus organizaciones.
Los navegadores se convierten en uno de los principales objetivos
Para los ciberdelincuentes, el teletrabajo ha supuesto una oportunidad sin precedentes para atacar a individuos desprevenidos de múltiples maneras. Por ejemplo, a principios de este año, el malware basado en web utilizado en campañas de phishing y otro tipo de fraudes superaron a los tradicionales ataques al correo electrónico.
De hecho, una familia de malware que incluye todas las variantes de los señuelos y estafas de phishing basados en la web ocupó la parte superior de la lista de malware en los meses de enero y febrero, y bajó de los cinco primeros puestos en junio.
Esto evidencia que los cibercriminales intentan dirigir sus ataques cuando los individuos son los más vulnerables y crédulos, navegando por la web desde casa. Los navegadores web, no solo los dispositivos, también son uno de los objetivos principales de los ciberdelincuentes, tal vez más de lo habitual.
El ransomware no ha disminuido
En los últimos seis meses las amenazas conocidas, como el ransomware, no han disminuido. Los mensajes temáticos y los archivos adjuntos de COVID-19 se utilizaron como cebo en varias campañas de este tipo de ataque.
Otros programas de ransomware fueron detectados reescribiendo el Master Boot Record (MBR) del ordenador antes de cifrar los datos. Además, se produjo un incremento en los incidentes de ransomware en los que los atacantes no solo bloquearon los datos de la organización víctima, sino que también los robaron y amenazaron con su publicación a gran escala como una ventaja adicional para intentar obtener el pago por el rescate.
Esta tendencia aumenta considerablemente el riesgo de que las organizaciones pierdan información valiosa u otros datos confidenciales en futuros ataques con programas ransomware. A nivel mundial, ninguna industria se libró de este tipo de ataques y los datos reflejan que los cinco sectores más atacados fueron las empresas de telecomunicaciones, MSSPs, el sector educativo, los gobiernos y la industria tecnológica.
Las amenazas a OT diez años después de Stuxnet
El pasado mes de junio se celebró el décimo aniversario de Stuxnet, una amenaza que marcó un hito y revolucionó la seguridad de la tecnología operativa. Ahora, una década después, las redes OT siguen siendo un objetivo para los cibercriminales.
El ransomware EKANS, que se hizo conocido a principios de este año, muestra cómo los adversarios siguen ampliando el foco de los ataques ransomware para incluir a los entornos OT. Además, el marco de trabajo del programa de espionaje Ramsay, diseñado para la recogida y exfiltración de archivos confidenciales dentro de redes aisladas o altamente restringidas, es un ejemplo de cómo los ciberdelincuentes buscan nuevas maneras de infiltrarse en este tipo de redes.
La prevalencia de las amenazas dirigidas a los sistemas de control de supervisión y adquisición de datos (SCADA) y otros tipos de sistemas de control industrial (ICS) es menor en volumen que las que afectan a las tecnologías de la información, aunque esto no resta importancia a esta tendencia.
Mapeo de los exploits
Según muestra la lista CVE, el número de nuevas vulnerabilidades publicadas ha aumentado en los últimos años causando un gran debate sobre la priorización de la aplicación de parches.
El año 2020 parece estar a punto de romper el número de vulnerabilidades publicadas en un solo año, pero éstas también tienen la tasa de explotación más baja jamás registrada en los veinte años de historia de la Lista CVE.
Sin embargo, las vulnerabilidades de 2018 tuvieron la mayor prevalencia de explotación con un 65%, y más de un cuarto de las organizaciones registraron intentos de explotación de CVE de 15 años de antigüedad. Para los ciberdelincuentes explotar el desarrollo a escala y la distribución mediante herramientas de piratería legítima y maliciosa sigue llevando tiempo.
Urge asegurar el perímetro de la red hasta el hogar
Con el aumento de la conectividad, los dispositivos y la necesidad continua de teletrabajo, la superficie de ataque digital se está ampliando. El perímetro de la red corporativa llega al hogar y los cibercriminales buscan el eslabón más débil y nuevas oportunidades para cometer sus ataques.
Las organizaciones deben prepararse tomando medidas concretas para proteger a sus usuarios, dispositivos e información de manera similar a si estuvieran en la red corporativa. Las organizaciones de inteligencia e investigación de amenazas son importantes aliados a la hora de proporcionar una amplia visión de la evolución del panorama de las amenazas, así como un análisis en profundidad de los métodos de ataque, los actores y las nuevas tácticas para ayudar a complementar los conocimientos cibernéticos de las organizaciones.
Es más importante que nunca disponer de soluciones seguras para el teletrabajo que permitan un acceso protegido a los recursos críticos y al mismo tiempo sean escalables para satisfacer las demandas de toda la fuerza de trabajo. Solo una plataforma de ciberseguridad diseñada para proporcionar una visibilidad y protección completa en toda la superficie del ataque -incluidos los entornos de red, de aplicaciones, multi-nube o móviles- es capaz de asegurar las redes actuales.
Solo una plataforma de ciberseguridad diseñada para proporcionar una visibilidad y protección completa en toda la superficie del ataque -incluidos los entornos de red, de aplicaciones, multi-nube o móviles- es capaz de asegurar las redes actuales.