Predicciones de Trellix sobre amenazas para 2022

En 2021 fueron noticia el ransomware, las operaciones patrocinadas por Estados, las redes sociales y la nueva dependencia de las plantillas remotas, lo que demuestra que los ciberdelincuentes siguen asumiendo retos. Neutralizan provocativamente las pilas de soluciones y ganan confianza cada vez que tienen éxito, lo cual les induce a ser más audaces e incluso más prolíficos.

Ya hemos visto los efectos de su determinación y cómo les da seguridad para causar más daño. La petición de rescate media aumentó de 5000 dólares en 2018 a cerca de 200 000 en 2020. Este enorme incremento del 3900 % en solo dos años evidencia el poder que acumulan los ciberdelincuentes con cada triunfo. Al fin y al cabo, es lógico que quieran seguir cosechando los frutos que la determinación y la fuerza de voluntad pueden generar.

Este éxito lo han alcanzado a base de adaptabilidad y con la idea de que, si no sale a la primera, hay que intentarlo otra vez. Actúan como un organismo vivo de enorme perseverancia y saben que las organizaciones lo tienen muy difícil para trabajar con normalidad.

"Este último año, los ciberdelincuentes han adaptado rápidamente sus estrategias de ataque (desde el ransomware a los ataques patrocinados por Estados), y pensamos que esta tendencia va a continuar en 2022", afirma Raj Samani, Fellow y científico jefe de Trellix. "Con el cambiante panorama de amenazas y el prolongado impacto de la pandemia mundial, es crucial que las empresas se mantengan al día de las tendencias en ciberseguridad para poder proteger su información de manera proactiva y práctica".

Para burlar a los ciberdelincuentes, aventajarles y detener la tendencia al alza de ataques y fugas que se produce año tras año, la seguridad debe adoptar sus mismas tácticas: estar siempre activa y ser adaptable para ir un paso por delante. A continuación, los cualificados ingenieros y arquitectos de seguridad de Trellix explican la urgencia de cambiar de mentalidad y de enfoque al adentrarnos en 2022.

Lazarus quiere añadirte como amigo

Los Estados utilizarán las redes sociales como arma para atacar a más profesionales de empresa
Raj Samani

Las redes sociales nos encantan. En ellas encontramos desde rencillas entre estrellas del pop hasta profesionales expertos y un canal abierto a los mejores trabajos del sector.

Pero ¿sabe qué?

Los ciberdelincuentes lo saben, igual que saben que nuestro deseo de aceptar vínculos con personas que no conocemos forma parte de nuestro afán incesante por conseguir 1000 seguidores más.

Esto hace que algunos ciberdelincuentes seleccionen directivos a quienes dirigen prometedoras ofertas de trabajo. ¿Y por qué no? Después de todo, es el método más eficaz para eludir los controles de seguridad tradicionales y comunicarse directamente con sus objetivos en las empresas que despiertan su interés. Igualmente, hay colectivos que, utilizando mensajes directos, se apropian de cuentas de personas de influencia para promocionar mensajes propios.

Aunque esta estrategia no es nueva, es casi tan omnipresente como los canales alternativos. A fin de cuentas, para "enganchar" al objetivo e incitarle a interaccionar, hace falta cierto nivel de investigación, y para crear perfiles falsos no basta con encontrar un relé abierto en algún lugar de Internet. Dicho esto, lanzar ataques contra personas ha demostrado ser un canal muy eficaz y creemos que el uso de este vector podría crecer, no solo a través de grupos de espionaje, sino de otros ciberdelincuentes que buscan infiltrarse en organizaciones en su propio provecho.

Ofertas de empleo: Ciberdelincuentes con paquetes de prestaciones

Los Estados incrementarán su ofensiva recurriendo a ciberdelincuentes
Christiaan Beek

Con especial hincapié en la inteligencia artificial, nuestro equipo no solo supervisa la actividad, sino que también investiga y monitoriza la inteligencia de acceso público de diversas fuentes para reunir más información sobre el flujo de amenazas en todo el mundo, como el aumento de las operaciones combinadas de ciberdelincuentes y Estados.

En muchos casos, se crea una nueva empresa, y un entramado de compañías ficticias o empresas de "tecnología" existentes participa en operaciones dirigidas y controladas por los ministerios de información de cada país.

En mayo de 2021, por ejemplo, el Gobierno estadounidense denunció a cuatro ciudadanos chinos que trabajaban en empresas ficticias propiedad del Estado. Estas empresas facilitaban a los hackers la creación de malware y el lanzamiento de ataques contra objetivos de interés para obtener inteligencia empresarial, secretos comerciales e información sobre tecnologías estratégicas.

Son tácticas que no solo aplica China, sino también otras naciones como Rusia, Corea del Norte e Irán. Contratan a hackers para sus operaciones y no hacen preguntas sobre sus demás acciones siempre que no dañen los intereses de su propio país.

Mientras que antes había familias de malware concretas vinculadas a grupos estatales, la línea empieza a difuminarse cuando se contrata a hackers para escribir código y encargarse de estas operaciones.

La brecha de seguridad inicial con tácticas y herramientas podría ser similar a las operaciones "normales" de los ciberdelincuentes, pero es importante vigilar qué ocurre a continuación y actuar con rapidez. Nuestra previsión es que en 2022 crecerá la confusión entre ciberdelincuentes y Estados, por lo que las empresas deberían revisar su visibilidad y aprender de las tácticas y operaciones que utilizan los agresores a los que se enfrenta su sector.

Juego de Tronos en el ransomware

Los grupos independientes de ciberdelincuentes cambiarán el equilibrio de poder en el imperio del RaaS
John Fokker

Durante años, los ataques de ransomware acaparaban titulares por ser posiblemente la ciberamenaza de mayor impacto. Fue una época en que el modelo del ransomware como servicio (RaaS) permitía hacer carrera en el cibercrimen a delincuentes poco cualificados, lo cual finalmente incrementó los ataques y aumentó las ganancias de las actividades delictivas.

Durante mucho tiempo, el objetivo era localizar a los administradores y desarrolladores de RaaS, así que a menudo se dejaba de lado a los afiliados por considerarlos menos cualificados. Todo ello, junto con la ausencia de perturbaciones en el ecosistema del RaaS, creó un entorno en el que los afiliados menos aptos podían prosperar, convertirse en ciberdelincuentes muy competentes y, finalmente, tener vida propia.

En respuesta al ataque de Colonial Pipeline, los principales foros de ciberdelincuencia han prohibido la publicidad de los creadores de ransomware. Ahora, los grupos de RaaS ya no tienen una plataforma externa en la que captar afiliados activamente, mostrar su antigüedad, ofrecer depósitos en garantía, someter su código binario a la evaluación de un moderador o resolver conflictos. Con esta falta de visibilidad, para los grupos de RaaS es más difícil consolidar o mantener su credibilidad y para los desarrolladores resulta más complicado mantener su posición en la cima desde la clandestinidad.

Estos hechos minan su posición de confianza. El ransomware ha generado miles de millones de dólares en los últimos años y es solo cuestión de tiempo que cunda el descontento entre los que piensan que no se llevan su parte.

Ya son visibles los primeros indicios, como describe nuestro artículo sobre Groove, una banda de ciberdelincuentes que abandonó el RaaS clásico para especializarse en la explotación de redes informáticas, filtrar datos confidenciales y, si resulta lucrativo, asociarse con un equipo de ransomware para cifrar la red de la organización.

Prevemos que en 2022 surgirán más grupos de ciberdelincuentes independientes que cambiarán el equilibrio de poder en el ecosistema del RaaS, que pasará de manos de los que controlan el ransomware a las de aquellos que controlan las redes de las víctimas.

Ransomware para principiantes

Los operadores menos cualificados no tendrán que arrodillarse en el cambio de poder del modelo RaaS
Raj Samani

El ecosistema del ransomware como servicio ha evolucionado con el uso de afiliados, hombres y mujeres que trabajan con los desarrolladores como intermediarios a cambio de parte de los beneficios. Si bien esta estructura se consolidó durante el crecimiento de GandCrab, estamos percibiendo grietas potenciales en una unión que ya no es tan perfecta.

Históricamente, eran los desarrolladores de ransomware quienes tenían todos los triunfos en la mano, ya que podían seleccionar a los afiliados para sus operaciones e incluso mantener "entrevistas de trabajo" para averiguar su experiencia técnica. Con la entrada de más creadores de ransomware en el mercado, sospechamos que ahora los afiliados de más talento pueden subastar sus servicios a cambio de una parte más sustanciosa de los beneficios y quizá exigir una mayor participación en las operaciones.

Por ejemplo, la introducción de enumeraciones de Active Directory en el ransomware DarkSide podría estar pensada para dejar de depender de la experiencia técnica de los afiliados. Estos cambios indican un posible regreso a los primeros días del ransomware, cuando aumentaba la demanda de operadores poco cualificados para utilizar la experiencia codificada de los desarrolladores de ransomware.

¿Funcionará? Sinceramente, será difícil replicar la experiencia de un técnico de pruebas de penetración cualificado y quizá, solo quizá, el impacto no será tan fuerte como en casos recientes.

No pierda de vista las API

El tráfico 5G e IoT entre servicios API y aplicaciones las convertirá en objetivos cada vez más lucrativos
Arnab Roy

Los ciberdelincuentes prestan atención a las estadísticas y las tendencias empresariales para identificar los servicios y las aplicaciones que presentan mayor riesgo potencial. Las aplicaciones en la nube, sea cual sea su naturaleza (SaaS, PaaS o IaaS), han transformado la forma en que los desarrolladores de software diseñan, consumen y aprovechan las API, tanto en contextos B2B como B2C. El alcance y la popularidad de algunas de estas aplicaciones en la nube, así como el suculento botín que representan los datos empresariales cruciales y las funciones que normalmente subyacen a estas API, las convierten en un objetivo lucrativo para los ciberdelincuentes. La naturaleza conectada de las API también puede introducir riesgos adicionales para las empresas, ya que son un vector de entrada para ataques más amplios a la cadena de suministro.

Estos son algunos de los principales riesgos que creemos que evolucionarán en el futuro: 1. Mala configuración de las API. 2. Explotación de los mecanismos de autenticación modernos. 3. Evolución de los ataques de malware tradicionales para utilizar más las API de la nube. 4. Uso indebido potencial de las API para lanzar ataques contra los datos empresariales. 5. El uso de las API para infraestructuras definidas por software también implica un posible uso ilícito.

Para los desarrolladores, debería ser prioritario crear un modelo de amenazas eficaz para sus API y contar con un mecanismo de control de acceso de confianza cero (Zero-Trust), además de registros de seguridad y telemetría efectivos para mejorar la respuesta a incidentes y la detección de usos indebidos maliciosos.

Los secuestradores atacarán los contenedores de aplicaciones

La creciente explotación de contenedores permitirá la apropiación de recursos de los endpoints
Mo Cashman

Los contenedores se han convertido en la plataforma de facto de las aplicaciones modernas en la nube. Las organizaciones encuentran en ellos beneficios tales como portabilidad, eficiencia y velocidad, todo lo cual puede reducir el tiempo de despliegue y administración de las aplicaciones que impulsan la innovación del negocio. Sin embargo, el uso acelerado de contenedores incrementa la superficie de ataque de la empresa. ¿Qué técnicas debe vigilar y qué grupos de contenedores de riesgo serán elegidos como objetivo? La explotación de aplicaciones de acceso público (MITRE T1190) es una técnica que suelen utilizar los grupos de APT y ransomware. La Cloud Security Alliance (CSA) ha identificado varios grupos de contenedores de riesgo que incluyen imágenes, orquestadores, registros, SO host y hardware.

Estos los algunos de los principales grupos de riesgo que prevemos que se explotarán de forma creciente en el futuro: 1. Riesgos para orquestadores: ataques crecientes a la capa de orquestación, como Kubernetes y la respectiva API, basados principalmente en errores de configuración. 2. Riesgo para imágenes o registros: uso creciente de imágenes maliciosas o con puerta trasera por insuficientes comprobaciones de vulnerabilidades. 3. Riesgo para contenedores: aumento de ataques contra aplicaciones vulnerables. La creciente explotación de estas vulnerabilidades en 2022 podría dar lugar al secuestro de recursos de los endpoints con malware de criptominería, la creación de otros recursos, el robo de datos, la persistencia del atacante y el escape de contenedores a sistemas host.

Cero atención a los zero-day

El tiempo para transformar vulnerabilidades en exploits activos se medirá en horas y no hay nada que pueda hacer al respecto… excepto instalar parches
Fred House

El año 2021 ya se ha proclamado como uno de los peores de la historia con respecto al volumen de vulnerabilidades de tipo zero-day que se han explotado. El alcance de los ataques, la diversidad de las aplicaciones elegidas y, a la larga, las consecuencias para las organizaciones fueron considerables. De cara a 2022, creemos que estos factores agilizarán la respuesta de las organizaciones.

Cuando en 2020 nos enteramos de que aproximadamente 17 000 clientes de SolarWinds se habían visto comprometidos y de que unos 40 sufrieron ofensivas posteriores, muchos reaccionamos con asombro ante la envergadura del ataque. Lamentablemente, 2021 trajo consigo su propio aumento notable de volumen y unos tiempos de respuesta mediocres por parte de las organizaciones. A modo de ejemplo: dos semanas después de que Microsoft publicara el parche para ProxyLogon, anunció que 30 000 servidores de Microsoft Exchange seguían siendo vulnerables (según un cálculo menos conservador, la cifra rondaba los 60 000).

Después llegó ProxyShell, considerado el segundo gran suceso del año para Exchange. En agosto, al día siguiente a la presentación de Black Hat sobre las vulnerabilidades de Exchange Server, se lanzó una prueba de concepto (POC) de exploit, que Microsoft ya había corregido con parches meses antes, en abril/mayo. El análisis de los datos capturados por Shodan una semana después de la publicación de la prueba de concepto de exploit concluía que más de 30 000 servidores de Microsoft Exchange seguían siendo vulnerables y señalaba que posiblemente los datos daban medida insuficiente del alcance total (es decir, Shodan no había tenido tiempo de analizar todo Internet). En resumen: parches aplicados en primavera, ataques en otoño.

Entonces, ¿qué conclusión podemos sacar de todo esto? Bueno, tanto agresores como investigadores de seguridad continuarán perfeccionando su oficio hasta que se produzcan exploits y pruebas de concepto maliciosas a las pocas horas de la divulgación de una vulnerabilidad. Igualmente, sin embargo, y en gran parte motivada por las mayores consecuencias de los ataques, también prevemos una renovada diligencia en la administración de activos y parches. Desde identificar recursos de acceso público hasta desplegar rápidamente los parches a pesar de la posible interrupción de la actividad, las empresas recuperarán el interés por reducir el tiempo que tardan en aplicar los parches. Aunque inevitablemente seguiremos viendo ataques de alto impacto, su alcance se reducirá cuantas más organizaciones reconozcan que la protección puede mejorar con una seguridad capaz de aprender y adaptarse con más rapidez y eficacia que los ciberdelincuentes que intentan infiltrarse en ellas.