El informe de VMware Global Incident Response Threat Report [PDF] profundiza en los desafíos que enfrentan los equipos de ciberseguridad. En la encuesta anual de 125 profesionales, descubrieron que los equipos de seguridad todavía se están recuperando de las interrupciones de la pandemia y el agotamiento mientras se preparan para los ataques cibernéticos relacionados con la invasión rusa de Ucrania.
El sesenta y cinco por ciento de los encuestados dijo que los ataques cibernéticos han aumentado desde que Rusia invadió Ucrania. En febrero, por ejemplo, un nuevo tipo de malware (llamado HermeticWiper) fue implementado en uno de los ataques dirigidos más grandes de la historia enfocado únicamente en la destrucción de información y recursos críticos.
Esto es parte de una lista creciente de malware destructivo implementado contra Ucrania, como se señala la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI).
Los exploits Zero/Day tampoco muestran signos de disminución después de los niveles récord del año pasado: el 62% de los encuestados dijo haber experimentado este tipo de ataques en los últimos 12 meses, frente al 51% en 2021.
Este aumento también se puede atribuir al conflicto geopolítico. «Los Zero-Day son costosos de hacer, y una vez que se usan, no vuelven a ser tan útiles», dice Rick McElroy, responsable principal de ciberseguridad de VMware. «Los estados-nación son, por lo tanto, los principales impulsores del mercado de día cero, particularmente durante momentos de agitación como este».
De acuerdo con resultados del informe, el 65% de los encargados de la defensa afirman que los ciberataques han aumentado desde que Rusia invadió Ucrania. El informe también describe las amenazas emergentes como los Deepfake, los ataques a las API y los ataques de los ciberdelincuentes a los encargados de responder a los incidentes. Los ataques Deepfake se dispararon un 13 por ciento, y el 66 por ciento de los encuestados ahora dicen que los han visto en los últimos 12 meses.
La capacidad de los actores de amenazas para moverse por las redes, evadir los equipos de seguridad y aprovechar estas diversas plataformas y métodos de ataque para penetrar aún más en las redes y distribuir ataques solo exacerba estos riesgos: una vez más, la mayoría de los encuestados fueron testigos de casos de movimiento lateral, con 1 de cada 10 diciendo que representan al menos la mitad de todos los ataques. Y esos son solo los casos que se pueden ver.
El correo electrónico fue el principal método de entrega (78 por ciento) para este tipo de ataques, lo que se corresponde con el aumento de BEC (es decir, cuando los delincuentes envían mensajes que parecen provenir de una fuente conocida con una solicitud legítima). De 2016 a 2021, los incidentes de BEC costaron a las organizaciones un estimado de $43.3 mil millones, según el FBI.
«Los ciberdelincuentes ya no utilizan videos y audios artificiales simplemente para influenciar operaciones o para distribuir campañas de desinformación. Su nueva meta es utilizar la tecnología de Deepfake para poner en riesgo a las organizaciones y acceder a su entorno», afirmó McElroy.
El informe incluye otros hallazgos clave
El agotamiento de los profesionales de ciberseguridad todavía es un problema crítico. El 47% de los encargados de responder a los incidentes afirman haber experimentado agotamiento o estrés extremo en los últimos 12 meses, un poco menos que el 51% del año pasado. De este grupo, un 69% (en comparación con el 65% en el 2021) de los encuestados han considerado dejar sus trabajos como resultado. Sin embargo, las organizaciones están trabajando para combatir esta situación, y más de dos tercios de los encuestados afirmaron que sus lugares de trabajo han implementado programas de bienestar para tratar el agotamiento.
El 62% de los encuestados encontró un exploit Zero-Day en los últimos 12 meses, en comparación con el 51% en 2021.
Los atacantes que usan ransomware incorporan estrategias de extorsión. La predominancia de los ataques de ransomware, muchas veces respaldados por colaboraciones de grupos de delitos cibernéticos en la web oscura, está lejos de terminar. El 57% de los encuestados han sido víctimas de estos ataques en los últimos 12 meses, y dos tercios (66%) han detectado programas de afiliados o alianzas entre grupos de ransomware ya que los carteles de cibercrimen prominentes continúan extorsionando organizaciones a través de técnicas de doble extorsión, subastas de datos y chantaje.
Las API son la nueva terminal y representan la próxima frontera para los atacantes. Mientras las cargas de trabajo y las aplicaciones proliferan, ahora el 23% de los ataques comprometen la seguridad de las API. Los principales tipos de ataques a las API incluyen la exposición de información (que afectó al 42% de los encuestados el año pasado), ataques de inyección a SQL y API (el 37% y el 34% respectivamente) y ataques de denegación de servicio distribuidos (el 33%).
El movimiento lateral es el nuevo campo de batalla. Se detectaron movimientos laterales en el 25% de los ataques, en lo que los ciberdelincuentes hicieron uso de todo tipo de datos para hurgar dentro de las redes internas, desde hosts con script (el 49%) y almacenamiento de archivos (el 46%), hasta PowerShell (el 45%), plataformas de comunicación empresarial (el 41%) y .NET (el 39%). En un análisis de telemetría dentro de VMware Contexa, se descubrió que en abril y mayo de 2022, casi la mitad de las intrusiones contenían un evento de movimiento lateral.
A pesar del panorama turbulento y el aumento de las amenazas que se detallan en el informe, los encargados de responder a los incidentes están contraatacando, con un 87% que asegura que son capaces de interrumpir las actividades de los ciberdelincuentes en ocasiones (el 50%) o muy a menudo (el 37%). También utilizan nuevas técnicas para lograrlo: tres cuartas partes de los encuestados (el 75%) dicen que están implementando la aplicación de parches virtual como mecanismo de emergencia. En cualquier caso, mientras más visibilidad tengan los encargados de la defensa en las superficies de ataque crecientes de hoy en día, mejor equipados estarán para superar las dificultades.
A continuación tenemos el reporte de incidentes de ciberseguridad por VMware.