Seguridad

El malware está proliferando, pero las defensas están dando sus frutos: Mandiant

0 0 6 minutos de lectura
A series of locks representing cybersecurity. One has popped open.

Una serie de candados que representan la seguridad cibernética. Uno se abrió.Imagen: Askha/Adobe Stock

Los grupos de amenazas están en aumento, con 3500 de ellos siendo rastreados por Mandiant, el brazo de ciberdefensa de Google Cloud, frente a los 900 del año pasado, 265 de los cuales fueron descubiertos por primera vez en la investigación de Mandiant en 2023.

El informe M-Trends 2023 de Mandiant sobre el panorama de la seguridad cibernética global encontró que las organizaciones enfrentan intrusiones de grupos avanzados, incluidas entidades patrocinadas por el estado de China y Rusia, grupos de amenazas con motivaciones económicas y 335 grupos de amenazas no clasificados.

El informe dijo que la mayor proporción del grupo, seguido por casi la mitad del grupo fue Manchester, que busca ganancias financieras.

Salta a:

El «tiempo de permanencia» global se desploma

El tiempo de permanencia, la cantidad de días que un adversario puede permanecer en una red objetivo antes de ser detectado, disminuyó el año pasado. Según el informe de M-Trends, la estadía media global fue de 16 días, la más corta para cualquier período de informe desde que se publicó el informe de M-Trends hace 14 años, frente a los 21 días de 2023.

Notificación externa de eventos agregados

La empresa ha notado un aumento en los esfuerzos de notificación proactiva de los socios de seguridad. Las organizaciones en las Américas recibieron notificaciones de entidades externas en el 55 por ciento de los incidentes, frente al 40 por ciento en 2023, el porcentaje más alto de notificaciones externas en las Américas en los últimos seis años, según el informe.

Informes de seguridad de lectura obligada

Las organizaciones en Europa, Medio Oriente y África (EMEA) fueron alertadas sobre una infracción por parte de una entidad externa en el 74 % de las encuestas en 2023, en comparación con el 62 % en 2023. En APAC, el 33% de las organizaciones recibieron una alerta de un socio externo en la encuesta.

Publicaciones relacionadas

El estudio, basado en la investigación de Mandiant Consulting sobre la actividad de ataques dirigidos entre el 1 de enero y el 31 de diciembre de 2023, encontró un número creciente de nuevas familias de malware.

Ataques de ransomware reducidos

El informe confirma investigaciones anteriores de Tecnopedia que notaron una disminución en los ataques de ransomware: en 2023, el 18 por ciento de las encuestas globales de Mandiant involucraron ransomware, en comparación con el 23 por ciento en 2023. Según la compañía, este es el porcentaje más pequeño de investigaciones relacionadas con ransomware de Mandiant antes de 2023.

«Si bien no tenemos datos que sugieran una sola razón para la ligera disminución de los ataques relacionados con el ransomware que hemos observado, varios cambios en el entorno operativo pueden haber contribuido a estos números más bajos», dijo Sandra Joyce, vicepresidenta de Google. Presidente de Cloud Mandiant Intelligence, en un comunicado.

La interrupción de los ataques de ransomware por parte de los gobiernos y las fuerzas del orden ha obligado a los jugadores a reorganizarse o desarrollar nuevas asociaciones, dijo.

Beacon prevalece entre las variantes de malware

La familia de malware más común encontrada por Mandiant en la encuesta del año pasado fue BEACON, que representó el 15 por ciento de todas las intrusiones que investigó Mandiant, y el malware fue implementado por grupos aliados de China, Rusia e Irán, grupos de amenazas financieras y más de 700 UNC. Otros son SystemBC, Metasploit, Hivelocker, Qakbot, Alphv, LockBit y Basta (Figura A).

Figura A

Familias de malware más usadas en 2022.Imagen: Mandiante. Familias de malware más usadas en 2023.

De las 588 nuevas familias de malware rastreadas por Mandiant el año pasado, el informe dice:

  • Treinta y cuatro por ciento eran puertas traseras.
  • El catorce por ciento eran descargadores.
  • El once por ciento son cuentagotas.
  • El 7% eran ransomware.
  • El cinco por ciento son transmisores (Figura B).

Figura B

Clasificación de ataque.Imagen: Mandiante. Clasificación de ataque.

«Mandiant ha investigado varias intrusiones por parte de adversarios nuevos, cada vez más sofisticados y efectivos», dijo Charles Carmakal, director de tecnología de Google Cloud Mandiant Consulting, y agregó que los atacantes utilizaron datos de mercados clandestinos de ciberdelincuencia para llevar a cabo ataques dirigidos. redes corporativas.

El software aprovecha los principales vectores de ataque

Los exploits de vulnerabilidades como la inyección de SQL o las secuencias de comandos entre sitios se han convertido en el vector de ataque más común por tercer año consecutivo, utilizado por el 32% de los atacantes, frente al 37% en 2023, según el informe de Mandiant. Segundo lugar, representando el 22% de las intrusiones, frente al 12% en 2023.

Mandiant informó que en su encuesta encontró evidencia de que tuvieron éxito en el 36% de los ataques que involucraron al menos un exploit en la encuesta de 2023, en comparación con el 30% en la encuesta de 2023. También informa que los productos de Internet como firewalls perimetrales, soluciones de virtualización y dispositivos de redes privadas virtuales expuestos en la naturaleza son objetivos ideales para los atacantes.

La vulnerabilidad notable fue Log4j1, que representó el 16 % de la encuesta, mientras que la segunda y la tercera vulnerabilidad más importantes estaban relacionadas con F5 Big-IP2 y VMware Workspace ONE Access and Identity Manager.

La mala higiene digital alimenta el robo de credenciales

Mandiant también informó un aumento en el robo y las compras de credenciales el año pasado, en el que las credenciales se robaron fuera del entorno de una organización y luego se usaron para la organización, posiblemente debido a la reutilización de contraseñas o al uso de cuentas personales en dispositivos corporativos.

Los actores de amenazas utilizaron credenciales robadas en el 14 por ciento de los ataques el año pasado, en comparación con el 9 por ciento de las investigaciones que identificaron los vectores de infección iniciales en 2023.

La compañía también informa que el 40 % de las intrusiones en 2023 implicarán filtraciones de datos, y el uso de la tecnología ha aumentado en los últimos años.

La encuesta de Mandiant encontró que tanto el uso generalizado de malware para robar información como la compra de credenciales aumentaron en prevalencia en 2023 en comparación con años anteriores. En muchos casos, la investigación encontró que las credenciales probablemente se robaron fuera del entorno de la organización y luego se usaron contra la organización, posiblemente mediante la reutilización de contraseñas o el uso de cuentas personales en dispositivos corporativos (Figura C).

Figura C

Principales vectores de ataque identificados.Imagen: Mandiante. Principales vectores de ataque identificados.

El phishing es el segundo medio más común

El año pasado, el phishing representó el 22% de las intrusiones en las que se identificó el vector de infección inicial, lo que lo convierte en el segundo vector más utilizado y un aumento del 12% en 2023.

Microsoft más atacado

Según el informe, el malware de Windows es, con mucho, la vulnerabilidad observada y rastreada recientemente más común, con el 92 por ciento de las familias de malware recién descubiertas y el 93 por ciento del malware observado que puede ejecutarse en Windows. Otros hallazgos son los siguientes:

  • Las familias de malware que son efectivas en uno o más sistemas operativos son más frecuentes que el malware diseñado específicamente para un sistema operativo.
  • Es más probable que el malware que funciona en un solo sistema operativo se dirija al sistema operativo Windows.
  • El malware efectivo en Linux cae del 18% al 15% en 2023
  • Se informó por primera vez de malware diseñado para explotar VMkernel, un sistema operativo creado por VMware.

En el último elemento, Mandiant señaló que, si bien es pequeño en tamaño, los defensores deben tomar nota debido al uso generalizado de VMware.

«Estos tipos de sistemas operativos no tienen la funcionalidad significativa de detección de puntos finales y monitoreo de herramientas de respuesta. Como tal, el monitoreo y la investigación de la plataforma pueden ser un desafío para los mantenedores», afirma el informe.

Los nuevos ciberdelincuentes usan métodos comunes para tener un gran impacto

Entre los grupos que apuntan a las grandes corporaciones está Lapsus (que Mandiant rastrea como UNC3661) y otro Mandiant etiquetado como UNC3944. Ambas organizaciones atípicas, o UNC, son dignas de mención porque, aunque carecen de la sofisticación de los actores alineados con el estado, siguen siendo muy eficaces.

«Estos incidentes resaltan la amenaza que representan para las organizaciones los adversarios persistentes dispuestos a eludir las reglas tácitas», dijo Mandiant, y señaló que los atacantes utilizaron datos obtenidos de mercados clandestinos de ciberdelincuencia, ingeniosos esquemas de ingeniería social e incluso sobornos. Tampoco dudan en intimidar y amenazar a sus objetivos, según la compañía.

UNC3661 comenzó con objetivos sudamericanos y luego se globalizó, claramente empeñado en dañar su reputación al robar el código fuente y la propiedad intelectual.

«Su comportamiento durante la filtración expresó ampliamente un deseo de notoriedad, en lugar de optimizar para obtener mayores ganancias», dijo la compañía, y agregó que el grupo discutiría el tema en un chat de Telegram después de solicitar la IP como código fuente. organizaciones a continuación.

mirar: telégrafo Un bazar popular para el ecosistema de amenazas de la Dark Web

A diferencia de Lapsus, UNC3944, que surgió en mayo pasado, es un grupo de amenazas con fines financieros que utiliza credenciales robadas obtenidas de operaciones de phishing por SMS para obtener acceso, informó Mandiant.

Vale la pena señalar: ninguno de los grupos se basó en exploits de día cero, malware personalizado o nuevas herramientas. «Es importante que las organizaciones entiendan las posibles consecuencias de esta nueva amenaza más vocal y ajusten las protecciones y expectativas en consecuencia», dijo el informe.

LEER  Cómo funcionan los ataques de Credential Stuffing y cómo prevenirlos
0 0 6 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba