Los actores de amenazas se vuelven mucho más sofisticados

Ya sean bandas organizadas de delincuentes cibernéticos o grupos de amenazas avanzadas persistentes (APT) respaldados por el estado o afiliados, los actores de amenazas han aumentado enormemente su sofisticación en los últimos 12 meses, incorporando un arsenal de nuevas técnicas que hace que detectar sus ataques sea más y más difícil incluso para los el más endurecido de los defensores.

Esto es de acuerdo con un nuevo informe anual publicado hoy por Microsoft, el Informe de defensa digital, explorando algunas de las tendencias de seguridad cibernética más pertinentes del año pasado.

“Dado el salto en la sofisticación de los ataques en el último año, es más importante que nunca que tomemos medidas para establecer nuevas reglas para el ciberespacio: que todas las organizaciones, ya sean agencias gubernamentales o empresas, inviertan en personas y tecnología para ayudar detener los ataques; y que la gente se concentre en los aspectos básicos, incluida la aplicación regular de actualizaciones de seguridad, políticas de respaldo integrales y, especialmente, habilitar la autenticación multifactor (MFA) ”, dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. en una publicación de blog.

«Nuestros datos muestran que habilitar MFA por sí solo habría evitado la gran mayoría de los ataques exitosos».

Entre otras cosas, el informe detalla cómo los grupos de APT están participando en nuevas técnicas de reconocimiento que aumentan sus posibilidades de comprometer objetivos importantes, mientras que los grupos de delincuentes cibernéticos que atacan a las empresas están recurriendo cada vez más a la nube para esconderse entre servicios legítimos, y otros están ideando innovadores formas de explorar la Internet pública en busca de sistemas que puedan ser vulnerables.

Los actores de amenazas también han demostrado una clara preferencia por la recolección de credenciales a través de ataques de phishing y ransomware en el último año, y el ransomware es ahora la razón más común para que la operación de seguridad de Microsoft inicie un compromiso de respuesta a incidentes.

Los ataques de ransomware se están volviendo claramente más dirigidos y planificados, según los datos del informe, con patrones de ataque que demuestran que los ciberdelincuentes saben cuándo habrá congelaciones de cambios, como los días festivos, que ralentizarán la capacidad de una organización para responder y fortalecer sus redes. Los operadores de ransomware ahora también están demostrando claramente que conocen bien las necesidades comerciales de sus objetivos y qué factores los inducirán a pagar en lugar de incurrir en un tiempo de inactividad prolongado, por ejemplo, durante un ciclo de facturación.

Burt dijo que los ciberdelincuentes se están volviendo expertos en desarrollar sus técnicas para mejorar sus posibilidades de éxito, experimentando con nuevos vectores de ataque y técnicas de ofuscación, y explotando la agenda de noticias en rápido movimiento para cambiar sus señuelos. La pandemia de Covid-19 en particular ha dado a los ciberdelincuentes una oportunidad de oro para jugar con la curiosidad humana y la necesidad de información.

El informe revela cómo la pandemia también se ha desarrollado de otras maneras, con los trabajadores remotos más vulnerables fuera del perímetro de la red de sus organizaciones, y la estratosférica absorción de aplicaciones web y basadas en la nube hace que los ataques DDoS de repente sean mucho más peligrosos.

Actores respaldados por el Estado-nación, mientras tanto, también están evolucionando, cambiando sus objetivos para alinearse con los cambiantes objetivos geopolíticos de sus pagadores. En el pasado, estos grupos habían preferido centrarse en las vulnerabilidades de la infraestructura nacional crítica (CNI), pero las estadísticas de Microsoft revelaron que el 90% de las notificaciones de los estados nacionales eran contra otros objetivos.

Por ejemplo, informó hasta 16 grupos diferentes respaldados por el estado dirigidos a sus clientes que están involucrados en la respuesta de Covid-19, como organismos gubernamentales, objetivos de atención médica, ONG e instituciones académicas y organizaciones científicas que trabajan en vacunas. Una cosa que no ha cambiado es el origen de estos grupos, que operan de manera abrumadora en China, Irán, Corea del Norte y Rusia.

Burt instó a un «enfoque comunitario» a la seguridad cibernética en el futuro, diciendo que aunque el trabajo de seguridad de Microsoft es extenso, incluso una organización de su tamaño solo puede hacer una pequeña contribución al panorama general.

“Requiere que los legisladores, la comunidad empresarial, las agencias gubernamentales y, en última instancia, las personas marquen una diferencia real, y solo podemos tener un impacto significativo a través de la información compartida y las asociaciones”, dijo.

“Ésta es una de las razones por las que lanzamos Microsoft Informe de inteligencia de seguridad en 2005, y es una de las razones por las que hemos convertido ese informe en este nuevo Informe de defensa digital. Esperamos que esta contribución nos ayude a todos a trabajar juntos mejor para mejorar la seguridad del ecosistema digital ”.