Búsqueda
Las tendencias de ataque de la respuesta ante incidentes 2022, los tipos de incidentes más comunes, cómo los atacantes obtienen acceso inicial, qué vulnerabilidades explotan y a qué sectores apuntan.
PERSPECTIVAS SOBRE
Los ataques más comunes
Ransomware y BEC fueron los principales ataques a los que respondimos el último año, lo que significa aproximadamente el 70 % de nuestros casos de respuesta ante incidentes.
01
RANSOMWARE
Los atacantes están pidiendo y recibiendo mayores pagos por rescates
A partir de junio, el pago promedio por rescate en los casos que trabajaron los encargados de responder ante incidentes de Unit 42 en 2022 fue de 925,162 USD, un 71 % de aumento en comparación con 2021.
$30 millonesUSD
Mayor pedido
$8,5 millonesUSD
Mayor pago
Caso práctico:
Ransomware de BlackCat
Véalo ahora
Los atacantes usan múltiples técnicas de extorsión para maximizar las ganancias.
Los actores de amenazas normalmente cifran los archivos de una organización, pero cada vez más también nombran y humillan a sus víctimas, lo cual aumenta la presión para que paguen. Muchos grupos de ransomware mantienen sitios de filtración en la web oscura con el fin de una doble extorsión.
Los actores de amenazas prefieren la extorsión cada vez más, ya sea en combinación con otras técnicas o por sí sola.
4%
de los casos de Unit 42 implicaban extorsión sin cifrado y esperamos que este porcentaje aumente.
RaaS ayuda a generar un aumento en los actores inexpertos de amenazas.
El ransomware como servicio (RaaS) es un negocio para delincuentes, por delincuentes. Normalmente ellos definen los términos del ransomware, en general a cambio de tarifas mensuales o un porcentaje de los rescates pagados. El RaaS hace que llevar a cabo ataques sea más sencillo, reduce la barrera de entrada y acelera el crecimiento del ransomware.
02
INCIDENTES EN LA NUBE
Los errores de configuración son la causa principal de las
vulneraciones en la nube
Casi el 65 % de los incidentes de seguridad en la nube se debieron a errores de configuración. ¿El principal responsable? La configuración de IAM.
Analizamos más de 680 000 identidades en 18 000 cuentas en la nube de 200 organizaciones diferentes. Lo que descubrimos es que a casi todos carecían de los controles de políticas de IAM adecuados para permanecer seguros.
03
BEC
La vulneración de correo electrónico de negocios es más que tan solo un estorbo.
La Oficina Federal de Investigación de los Estados Unidos denomina a la BEC la “estafa de $43 mil millones”. Esto se refiere a los incidentes informados al Centro de Quejas de Delitos en Internet desde 2016 a 2021.
La telemetría de Unit 42 sobre las campañas de ataque de BEC ha generado el arresto de actores de BEC en la Operación Falcon II y la Operación Delilah.
PERSPECTIVAS SOBRE
Cómo ingresan los atacantes
Los tres principales vectores de acceso inicial para los adversarios eran la suplantación de identidad o phishing, las vulnerabilidades de software conocidas y los ataques de credenciales por fuerza bruta (principalmente sobre el protocolo de escritorio remoto).
77%
de las causas raíz sospechadas para las intrusiones provenían del phishing, exploits de vulnerabilidad y ataques por fuerza bruta.
04
VECTORES
Los atacantes utilizaron el phishing el 40% del tiempo para obtener acceso inicial
Los atacantes buscan formas sencillas de ingresar. El phishing es un método de bajo costo con grandes resultados para los atacantes. En nuestro informe proporcionamos “10 recomendaciones para evitar los ataques de phishing”.
05
LOG4SHELL
Log4Shell: una vulnerabilidad crítica con impacto continuo
Se identificó que se estaba explotado una vulnerabilidad de ejecución de códigos remotos (RCE) de día cero en Apache Log4j 2 el 9 de diciembre de 2021. Log4Shell fue calificado con un 10 en el sistema de puntuación de vulnerabilidades comunes (CVSS), la mayor puntuación posible.
Para el 2 de febrero, observamos casi 126 millones de resultados que activaron la firma de prevención de amenazas que debía proteger contra intentos de explotar la vulnerabilidad de Log4j. Log4j representaba casi el 14 % de los casos en los cuales los atacantes explotaban las vulnerabilidades para obtener acceso el año pasado, a pesar de ser público por algunos meses el período de tiempo que analizamos.
El 23 de junio, CISA lanzó una advertencia de asesoramiento que los actores maliciosos siguen explotando Log4Shell en los sistemas VMware Horizon.
06
zoho
Vulnerabilidades de Zoho utilizadas por campañas sofisticadas y difíciles de detectar
CISA de Estados Unidos lanzó una alerta el 16 de septiembre de 2021 que advertía que actores de amenazas avanzadas persistentes (APT) explotaban activamente las vulnerabilidades recién identificadas en la gestión de contraseñas autoservicio y la solución de inicio de sesión único Zoho ManageEngine ADSelfService Plus. Luego, Unit 42 divulgó una campaña continua, sofisticada, activa y difícil de detectar utilizando las vulnerabilidades rastreadas como TiltedTemple.
La campaña TiltedTemple atacó más de 13 objetivos en los sectores de tecnología, defensa, atención médica, energía, finanzas y educación, que aparentemente tienen por objeto recopilar o exfiltrar documentos confidenciales de las organizaciones comprometidas Zoho ManageEngine ADSelfService Plus representaba casi el 4 % de las vulnerabilidades que explotaban los actores de amenazas para obtener acceso inicial a nuestros casos de respuesta ante incidentes.
No obstante, la naturaleza de algunos de los ataques observados destaca que el volumen no es la única consideración al evaluar el riesgo relacionado a una vulnerabilidad.
07
PROXYSHELL
Las vulnerabilidades más comunes de ProxyShell explotadas en los casos recientes de Unit 42
ProxyShell es una cadena de ataque que funciona al explotar tres vulnerabilidades en Microsoft Exchange: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. La cadena de ataque permite que los atacantes lleven a cabo la ejecución de código remoto, lo que significa que podrían ejecutar el código malicioso en los sistemas comprometidos sin necesidad de acceso físico a ellos.
CISA de EE. UU. emitió un aviso urgente en contra de ProxyShell el 21 de agosto de 2021. Los atacantes explotaron activamente el ProxyShell casi no bien se divulgó; en los casos de Unit 42 donde los atacantes obtenían acceso inicial al explotar una vulnerabilidad, utilizaron ProxyShell más de la mitad de las veces.
PERSPECTIVAS SOBRE
Sectores
Los principales sectores afectados en los datos de nuestros casos eran finanzas, servicios profesionales y legales, manufactura, atención médica, alta tecnología, venta mayorista y minorista.
Estos sectores representaban casi el 63 % de nuestros casos.
Las organizaciones en estos sectores almacenan, transmiten y procesan altos volúmenes de información confidencial monetizable, que puede atraer actores de amenazas.
Los atacantes suelen ser optimistas; en algunos casos, es posible que un sector resulte particularmente afectado porque, por ejemplo, las organizaciones en ese sector hacen un uso extendido de determinado software con vulnerabilidades conocidas.
08
Principales sectores afectados en 2022
Finanzas
La exigencia de rescate promedio que observamos el año pasado para el sector de finanzas fue casi $8 millones USD. No obstante, el pago promedio fue solo de $154 000 USD, lo que representa alrededor del 2 % promedio de la exigencia en casos en los que las organizaciones decidieron pagar el rescate.
Salud
La exigencia de rescate promedio que observamos el año pasado para el sector de atención médica fue casi 1,4 millones USD. Y el pago promedio fue de $1,2 millones USD, lo que representa alrededor del 90 % promedio de la exigencia en casos en los que las organizaciones decidieron pagar el rescate.
09
Las principales 6 mejores prácticas recomendados
El panorama de ciberamenazas puede resultar abrumador. Cada día trae novedades de más ciberataques y tipos de ataques más sofisticados. Es posible que algunas organizaciones no sepan donde comenzar, pero nuestros asesores de seguridad tienen algunas sugerencias. A continuación puede ver seis de ellas:
1
Realizar capacitación para los empleados y contratistas en prevención de phishing y las mejores prácticas de seguridad.
2
Desactivar el acceso directo al RDP externo siempre utilizando una VPN de MFA de nivel empresarial.
3
Remediar los sistemas expuestos a Internet lo antes posible para evitar la explotación de vulnerabilidades.
4
Implementar MFA como política de seguridad para todos los usuarios.
5
Requerir que la verificación de todos los pagos ocurra fuera del correo electrónico y garantizar un proceso de verificación de varios pasos.
6
Considerar un servicio de detección de vulneraciones de credenciales o una solución de gestión de superficie de ataque para ayudar a rastrear los sistemas vulnerables y las posibles vulneraciones.
Análisis profundo con los expertos de Unit 42
Anticípese a los ataques.
Ransomware y la vulneración de correo electrónico de negocios (BEC) conformaron la mayoría de los casos a los que respondió Unit 42™ el año pasado. Conozca las perspectivas de los expertos sobre prepararse y responder al panorama de amenazas en evolución.
Perfeccione su estrategia.
Nuestros clientes piden ayuda para enmarcar los riesgos y las amenazas con su equipo de liderazgo, especialmente la junta directiva. Únase a nuestros ejecutivos para conversar acerca de cómo usar el informe de respuesta ante incidentes para fortalecer su argumento.
Análisis profundo con los expertos de Unit 42
Anticípese a los ataques.
Perfeccione su estrategia.