El 96% de los ataques de phishing explotan dominios de confianza

Darktrace informó en su último informe anual que sus investigadores encontraron más de 30,4 millones de correos electrónicos de phishing el año pasado.

Los actores de amenazas apuntan cada vez más a plataformas comerciales confiables como Dropbox, SharePoint y QuickBooks en sus campañas de correo electrónico de phishing y aprovechan dominios legítimos para eludir las medidas de seguridad. Al incrustar direcciones de remitente o enlaces de carga útil dentro de dominios legítimos, los atacantes evaden los métodos de detección tradicionales y engañan a los usuarios desprevenidos.

Según el Informe anual de amenazas 2024 de Darktrace, los autores detectaron más de 30,4 millones de correos electrónicos de phishing, lo que refuerza el phishing como la técnica de ataque preferida.

Darktrace señaló que los ciberdelincuentes están explotando servicios empresariales de terceros, incluidos Zoom Docs, HelloSign, Adobe y Microsoft SharePoint. En 2024, el 96 % de los correos electrónicos de phishing utilizaron dominios existentes en lugar de registrar nuevos, lo que dificulta su detección.

Se observó que los atacantes utilizaban redirecciones a través de servicios legítimos, como Google, para entregar cargas útiles maliciosas. En el caso del ataque a Dropbox, el correo electrónico contenía un enlace que conducía a un PDF alojado en Dropbox con una URL maliciosa incrustada.

Alternativamente, los actores de amenazas abusaron de cuentas de correo electrónico secuestradas, incluidas las de Amazon Simple Email Service, que pertenecían a socios comerciales, proveedores y otros terceros de confianza. Los autores del informe dicen que esto «pone de relieve que la identidad sigue siendo un problema costoso en todo el sector y una fuente persistente de problemas en las redes empresariales y comerciales».

Los ataques de phishing aumentan con tácticas generadas por IA. Entre los correos electrónicos de phishing que Darktrace encontró:

2,7 millones contenían cargas útiles maliciosas de varias etapas.
Más de 940.000 contenían códigos QR maliciosos.

La sofisticación de los intentos de phishing sigue aumentando, y el phishing selectivo (ataques por correo electrónico muy específicos) representa el 38% de los casos. Mientras tanto, el 32% utiliza técnicas novedosas de ingeniería social, como texto generado por IA con complejidad lingüística. Esta complejidad puede manifestarse como un mayor volumen de texto, puntuación o longitud de oraciones.

Darktrace recopiló información de sus más de 10.000 clientes globales para su informe, aprovechando la IA de autoaprendizaje, la detección basada en anomalías y el análisis exhaustivo de su equipo de investigación de amenazas.

Técnicas de «Living off-the-Land»: una creciente amenaza para la seguridad

Otro método de ataque implica brechas iniciales en la red a través de vulnerabilidades en dispositivos perimetrales, de borde o con conexión a Internet, seguidas de técnicas de «Living off-the-Land» (LotL). Esta estrategia explota herramientas empresariales legítimas preinstaladas para ejecutar actividades maliciosas mientras se evita la detección.

Darktrace descubrió que el 40% de la actividad de campaña identificada a principios de 2024 involucraba la explotación de dispositivos con conexión a Internet, incluidos los de Ivanti Connect Secure, Ivanti Policy Secure, Palo Alto Network y Fortinet. Los atacantes prefieren las técnicas LotL porque eliminan la necesidad de malware personalizado y reducen el riesgo de activar alertas de seguridad tradicionales.

Además de explotar vulnerabilidades en estos dispositivos de borde, los actores de amenazas utilizan cada vez más credenciales robadas para iniciar sesión en soluciones de acceso remoto a la red, como VPN, para el acceso inicial a la red, antes de aprovechar las técnicas LotL.

Los grupos de ransomware explotan herramientas empresariales para realizar ataques ocultos

Los grupos de ransomware, incluidos Akira, RansomHub, Black Basta, Fog y Qilin, junto con los actores emergentes Lynx, han estado utilizando cada vez más software empresarial legítimo:

AnyDesk y Atera para enmascarar las comunicaciones de comando y control.
Exfiltración de datos a servicios de almacenamiento en la nube.
Tecnología de transferencia de archivos para una explotación rápida y una doble extorsión.

Estos grupos también son reclutados con frecuencia para Ransomware-as-a-Service o Malware-as-a-Service, y el uso de herramientas MaaS aumentó un 17% entre la primera y la segunda mitad de 2024. El uso de troyanos de acceso remoto, malware que permite a un atacante controlar de forma remota un dispositivo infectado, también aumentó un 34% durante el mismo período.

Fuente y redacción: segu-info.com.ar

Técnicas de «Living off-the-Land»: una creciente amenaza para la seguridad

Los grupos de ransomware explotan herramientas empresariales para realizar ataques ocultos

Campaña de phishing dirigida a funcionarios europeos que ayudan en operaciones de refugiados

¿Mensaje de la OMS? No lo abras, es una estafa.

Los sitios web de phishing ahora usan chatbots para robar sus credenciales