El Informe relativo a los incidentes de Unit 42 en 2022 indica las tendencias, las consecuencias futuras y propone algunas recomendaciones basadas en los datos recogidos durante todo un año de investigaciones.
El deterioro de la situación económica puede hacer que un mayor número de personas se dediquen a la ciberdelincuencia para llegar a fin de mes, según un estudio publicado por la Unit 42 de Palo Alto Networks (NASDAQ: PANW), líder mundial en ciberseguridad.
El informe 2022 Unit 42 Incident Response Report recoge la información obtenida del extenso trabajo de respuesta a los incidentes (IR) de la Unit 42, con una muestra de más de 600 casos de IR de Unit 42 para ayudar a los CISO y a los equipos de seguridad a conocer los mayores riesgos de seguridad a los que se enfrentan y cuándo priorizar los recursos limitados para reducirlos.
Unit 42 de Palo Alto Networks ha identificado que el ransomware y el ataque a correos electrónicos empresariales (BEC) son los principales tipos de incidentes a los que su equipo de respuesta a incidentes ha respondido en los últimos 12 meses, representando aproximadamente el 70% de su trabajo.
«En estos momentos, la ciberdelincuencia es un negocio fácil de abordar porque tiene un costo bajo y a la vez una alta rentabilidad. Como tal, los actores de amenazas inexpertos y principiantes pueden iniciarse con el acceso a herramientas como el hacking-as-service cada vez más popular y disponible en la Dark Web», afirma Wendi Whitmore, SVP y Jefe de la Unit 42 de Palo Alto Networks. «Los atacantes de ransomware también se están volviendo más organizados con su servicio de atención al cliente y las encuestas de satisfacción, ya que se comprometen con los ciberdelincuentes y las organizaciones afectadas.»
Unit 42 también ha descubierto que el 75% de los casos de amenazas internas involucran a antiguos empleados. «La actual situación de inestabilidad económica hace indispensable que las organizaciones se centren en la protección contra las amenazas internas. Los ciberdelincuentes buscan a los empleados en los sitios web y los contactan directamente para ofrecerles dinero por sus credenciales», añade Whitmore.
Entre las principales tendencias que abarca el informe se encuentran:
Ransomware
Cada cuatro horas se registra una nueva víctima de ransomware. Es fundamental para las organizaciones identificar la actividad del ransomware a tiempo. Normalmente, los actores del ransomware no se descubren hasta que se cifran los archivos y la organización víctima recibe una notificación de rescate. Unit 42 ha identificado que el tiempo medio de permanencia -es decir, el tiempo que los actores de la amenaza permanecen en un entorno específico antes de ser detectados- que se ha observado en los ataques de ransomware es de 28 días. Las peticiones de rescate han alcanzado los 30 millones de dólares, y los pagos reales han sido de hasta 8 millones de dólares, lo que supone un aumento constante en comparación con los resultados del Informe sobre ransomware de Unit 42 de 2022. Cada vez más, las organizaciones afectadas pueden esperar que los actores de la amenaza utilicen la doble extorsión, amenazando con liberar públicamente información confidencial si no se paga por un rescate. El sector financiero y el inmobiliario se encuentran entre las industrias que han recibido las demandas de rescate más altas, con una demanda media de casi 8 millones de dólares y 5,2 millones de dólares, respectivamente.
BEC
Los ciberdelincuentes emplean diversas técnicas para cometer fraudes a través del correo electrónico. Algunas técnicas, como el phishing, permiten obtener acceso encubierto de forma sencilla y rentable, con un bajo riesgo de ser descubierto. Según el informe, en muchos casos los ciberdelincuentes se limitan a pedir a sus víctimas involuntarias que les entreguen sus credenciales, y los obtienen. Una vez que obtienen el acceso, el tiempo medio de duración de los ataques BEC se sitúa en 38 días y el importe medio robado es de 286.000 dólares.
Industrias afectadas
Los atacantes van en busca de dinero cuando se dirigen a las industrias, pero muchos atacantes son oportunistas, simplemente analizan Internet para encontrar sistemas en los que puedan explotar vulnerabilidades ya conocidas. Unit 42 ha identificado los principales sectores afectados en los casos de respuesta a incidentes como son el financiero, los servicios profesionales y jurídicos, la fabricación, la sanidad, la alta tecnología y la venta al por mayor y al por menor.
El informe también desvela algunas estadísticas de los casos de IR que los ciberatacantes no quieren que se conozcan:
- Las tres principales variantes de acceso utilizadas por los actores de las amenazas son: el phishing, la explotación de las vulnerabilidades de software ya conocidas y los ataques forzados de credenciales centrados principalmente en el protocolo de escritorio remoto (RDP). La combinación de estas vías de ataque constituye el 77% de las causas de las sospechas de intrusión.
- ProxyShell representa más de la mitad de todas las vulnerabilidades explotadas para el acceso inicial, con un 55%, seguido de Log4J (14%), SonicWall (7%), ProxyLogon (5%) y Zoho ManageEngine ADSelfService Plus (4%).
- En la mitad de los casos de IR, nuestros investigadores han descubierto que las organizaciones carecen de autenticación multifactor en sistemas críticos orientados a Internet, como el correo web corporativo, las soluciones de red privada virtual (VPN) u otras soluciones de acceso remoto.
- En el 13% de los casos, las organizaciones no cuentan con mitigaciones para asegurar el bloqueo de cuentas ante ataques de fuerza bruta a las credenciales.
- En el 28% de los casos, contar con procedimientos deficientes de gestión de parches contribuye al éxito de los actores de amenazas.
- En el 44% de los casos, las organizaciones no cuentan con una solución de seguridad de detección y respuesta de endpoints (EDR) o de detección y respuesta ampliada (XDR), o no están totalmente desplegadas en los sistemas inicialmente afectados para detectar y responder a las actividades maliciosas.
Servicios de respuesta a incidentes de Unit 42
Unit 42 de Palo Alto Networks cuenta con un equipo experimentado de consultores de seguridad con experiencia en los sectores público y privado que ha manejado algunos de los mayores ciberataques de la historia. Trabajan en complejos riesgos cibernéticos y responden a amenazas avanzadas, incluyendo ataques de estados-nación, APTs y complejas investigaciones de ransomware. Los expertos en respuesta a incidentes de Unit 42 están disponibles 24 horas al día, 7 días a la semana, para ayudar a los clientes a comprender la naturaleza del ataque y, a continuación, contenerlo, remediarlo y erradicarlo rápidamente. Utilizan una metodología probada y herramientas de eficacia probada desarrolladas a partir de experiencias reales de investigación de miles de incidentes.
Se pueden encontrar más detalles sobre las predicciones futuras, consejos para mantenerse a salvo, puntos de datos adicionales y mucho más en el informe de respuesta a incidentes de la Unit 42 de 2022, que se puede descargar en el sitio web de Palo Alto Networks.