Por: Derek Manky, jefe de Estrategia de Seguridad y VP Global de Inteligencia de Amenazas de FortiGuard Labs
El malware ha encontrado una manera de acaparar toda la atención en los medios y mantener a las compañías a sus pies. El mundo fue testigo de cómo los wipers (malware de borrado de información) fueron distribuidos en organizaciones ucranianas después de la invasión rusa, lo cual marcó el comienzo de un tiempo de inestabilidad que incluyó amenazas de ransomware y otros InfoStealers.
Y como si esto no fuera suficiente, nuestros expertos del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, han visto que los cibercriminales buscan sacar el máximo provecho de sus negocios, como cualquier persona de negocios. Podríamos decir que están utilizando los principios de reducir, reutilizar y reciclar, pero en lugar de enfocarlos en el medio ambiente lo están adaptando con el código malicioso para permitir resultados criminales más exitosos.
Todo lo viejo es nuevo
Al parecer no solo los diamantes son eternos, también los son algunas variantes de malware. En la segunda mitad del 2022 nuestros investigadores captaron el resurgimiento de nombres familiares de malware, wiper, y botnet, incluyendo Emotet y GranCrab, por nombrar algunos. Las principales 5 familias de ransomware, de un total de 99 detectadas, fueron responsables del 37% de la actividad de ransomware en dicho período. El más prominente fue GrandCrab, una amenaza RaaS (Ransomware as a Service) que resurgió en 2018.
FortiGuard Labs también investigó un grupo de variantes del botnet Emotet para evaluar su propensión a tomar prestado el código y reciclarlo. De acuerdo con la investigación, el añejo Emotet ha experimentado una diversificación significativa, con variantes que se dividen en unas seis «especies» diferentes de malware. No contentos con simplemente automatizar las amenazas, los atacantes cibernéticos mejoran agresivamente las nuevas versiones para volverlas exitosas.
Los ciberadversarios tienen un espíritu emprendedor y buscan constantemente formas de aumentar el valor de sus inversiones y el conocimiento en operaciones de ataque para aumentar su efectividad y rentabilidad. La reutilización de código permite a los cibercriminales aprovechar tácticas exitosas anteriores mientras mejoran iterativamente sus ataques y superan las barreras defensivas. De hecho, en nuestro análisis del malware más reportado para la segunda mitad de 2022, vimos que la mayor parte de los primeros puestos estaban ocupados por malware que tenía más de un año. Algunos de ellos, como Lazurus, existen desde hace más de 10 años y son pilares de la historia de Internet.
Resucitando viejas tácticas
Junto con la reutilización de código, los atacantes están maximizando las oportunidades utilizando amenazas conocidas e infraestructura existente. Por ejemplo, si vemos a las amenazas de botnet por su omnipresencia, muchas de las principales redes de bots no son novedosas. Mirai y Gh0st.Rat han seguido dominando en todas las geografías, lo que no es sorprendente. Entre las cinco principales redes de bots observadas, solo RotaJakiro se creó en los últimos años. Aunque existe una tendencia a ignorar los riesgos más recientes como historia, las empresas de todas las industrias deben mantenerse alerta.
Estas redes de bots «antiguas» siguen teniendo una amplia circulación porque siguen siendo muy eficaces, los cibercriminales continuarán explotando la infraestructura de botnet actual y transformándola en versiones cada vez más persistentes utilizando técnicas altamente especializadas. En particular, el sector manufacturero, los proveedores de servicios de seguridad administrados (MSSP) y el sector de telecomunicaciones/operadores fueron los principales objetivos de Mirai en la segunda mitad de 2022. Esto demuestra un esfuerzo intensivo de los delincuentes para apuntar a esos sectores.
Adelantarse al juego
Puede ser difícil para las empresas mantenerse a la par del cambiante panorama de amenazas, aquí es donde la actualización constante de los sistemas y equipos se vuelve esencial para cortar el éxito de estas amenazas más antiguas. La reutilización del código y la modularización que son posibles gracias a un floreciente ecosistema Crime-as-a-Service subraya el valor de los servicios de seguridad que pueden ayudar a las empresas a defenderse de las amenazas con una defensa coordinada impulsada por inteligencia artificial e información accionable en tiempo real.
Además, las empresas pueden lograr una detección y aplicación más rápidas en toda la superficie de ataque si existe una integración en todos los dispositivos de seguridad, lo que reduce su ciberriesgo general.
Más allá de la tecnología, la estrategia de ciberseguridad en realidad se reduce en gran medida a las personas. Se requiere de un esfuerzo de equipo con relaciones de confianza robustas y colaboración entre participantes de ciberseguridad a través de organizaciones públicas, comerciales e industrias para poder cortar de manera exitosa con la cadena de suministro cibercriminal.
La capacitación y concientización en temas de ciberseguridad debe ser la piedra angular de cualquier compañía y esto debe extenderse a todos los colaboradores, no solo a aquellos en TI o involucrados en seguridad. Aproximadamente el 80% de las organizaciones reportó que el último año sufrió una o más brechas debido a la falta de entrenamiento en esta área.
Estar preparados para lo que sigue
La segunda mitad de 2022 fue interesante, por decir algo. Comprender las tendencias de este período ayudará a las empresas a tener mejor noción sobre cómo protegerse. Según lo que pudimos ver durante los últimos seis meses, no podemos descartar amenazas más antiguas. Todavía están evolucionando activamente y buscando tanto lugares sin parches como nuevas vulnerabilidades que les permitan propagarse. Las empresas que utilicen la información de inteligencia disponible y las mejores prácticas estarán mejor preparadas para enfrentar lo que viene en el horizonte de ciberamenazas.
