CrowdStrike, una firma de ciberseguridad que rastrea las actividades de los actores de amenazas globales, informó el mayor aumento de adversarios que jamás haya observado en un año: identificó 33 nuevos actores de amenazas y un aumento del 95 % en los ataques a las arquitecturas en la nube. Los casos que involucran a actores “conscientes de la nube” casi se triplicaron desde 2021.
“Este crecimiento indica una mayor tendencia de los actores del crimen electrónico y del estado-nación que adoptan el conocimiento y el oficio para explotar cada vez más los entornos en la nube”, dijo CrowdStrike en su Informe de amenazas globales de 2023.
Salta a:
Los cielos están nublados para la seguridad en la nube
Además de la gran cantidad de nuevos actores de amenazas en la naturaleza que identificó, el informe de CrowdStrike también identificó un aumento en las amenazas basadas en la identidad, las explotaciones en la nube, el espionaje del estado-nación y los ataques que volvieron a armar las vulnerabilidades parcheadas previamente.
Además, la explotación de la nube se triplicó, con actores de amenazas enfocados en infiltrarse en contenedores y otros componentes de las operaciones en la nube, según Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike.
“Este fue un aumento masivo”, dijo Meyers, señalando que hubo un aumento del 288 % en los “adversarios conscientes de la nube” el año pasado, y que el cambio tectónico de las empresas a las plataformas nativas de la nube hace que el entorno sea atractivo para los piratas informáticos.
“Hace quince años, las computadoras Mac eran más seguras que cualquier otra, y la razón no period porque las Mac fueran intrínsecamente seguras, sino porque constituían una porción tan pequeña del mercado que los atacantes no les daban prioridad”, dijo Meyers, y agregó. esa nube estaba en la misma posición. “Estaba ahí afuera pero no en el interés de los actores atacar.
“Hoy recibes seguridad en la nube desde el primer momento, pero debe monitorearlo continuamente, así como realizar cambios y personalizarlo, lo que cambia la postura de seguridad frente a la nube de una organización”.
CrowdStrike dijo que los actores conscientes de la nube obtienen acceso inicial a la nube usando cuentas válidas, restableciendo contraseñas o colocando conchas internet diseñado para persistir en el sistema, luego intentar obtener acceso a través de cartas credenciales y los servicios de metadatos de las instancias de los proveedores de la nube.
En la mayoría de los casos, los actores de amenazas tomaron acciones maliciosas como eliminar el acceso a la cuenta, cancelar servicios, destruir datos y eliminar recursos. El informe encontró que:
- El 80% de los ciberataques utilizaron técnicas basadas en la identidad para comprometer las credenciales legítimas y tratar de evadir la detección.
- Hubo un aumento interanual del 112 % en los anuncios de servicios de intermediarios de acceso, parte del panorama de amenazas de delitos electrónicos relacionado con la venta de acceso a los actores de amenazas.
Con el escaneo de los defensores en busca de malware, la extracción de datos es más fácil
La investigación de ciberseguridad de CrowdStrike rastreó un cambio continuo en el uso de malware el año pasado, con una actividad libre de malware que representó el 71 % de todas las detecciones en 2022, frente al 62 % en 2021. Esto se relacionó en parte con el abuso prolífico de credenciales válidas por parte de los adversarios para facilitar el acceso y la persistencia en los entornos de las víctimas.
Martin Mao, director ejecutivo de la empresa de observabilidad nativa en la nube Chronosphere, dijo que la ubicuidad del monitoreo de puntos finales en tiempo actual hacía que la inserción de malware fuera menos atractiva.
“El malware no solo es mucho más fácil de monitorear ahora; existen soluciones estandarizadas para resolver este tipo de ataques proporcionando infraestructura de purple para mitigarlos”, dijo Mao.
La revelación de la semana pasada de un ataque al administrador de contraseñas Ultimo pase, con 25 millones de usuarios, cube mucho sobre la dificultad de defenderse de los ladrones de datos que ingresan ya sea por ingeniería social o por vulnerabilidades a las que no suele apuntar el malware. La insurgencia, el segundo ataque contra LastPass por parte del mismo actor, fue posible porque el ataque apuntó a una vulnerabilidad en el software program de medios en la computadora de la casa de un empleado, liberando a los atacantes una gran cantidad de datos de clientes sin cifrar.
“¿Cómo se detecta el compromiso de las credenciales?” dijo Mao. “No hay manera de encontrar eso; no hay forma de que lo sepamos, en parte porque el área de ataque es mucho más grande y casi imposible de supervisar”.
Los ciberdelincuentes pasan del ransomware al robo de datos para la extorsión
Hubo un aumento del 20 % en la cantidad de adversarios que cometieron robo de datos y extorsión el año pasado, según los cálculos de CrowdStrike.
Un atacante, que CrowdStrike denominó Slippery Spider, lanzó ataques de alto perfil en febrero y marzo de 2022 que, según el informe, incluyeron robo de datos y extorsión contra Microsoft, Nvidia, Okta, Samsung y otros. El grupo utilizó los canales públicos de Telegram para filtrar datos, incluido el código fuente de las víctimas, las credenciales de los empleados y la información private.
Otro grupo, Scattered Spider, centró los esfuerzos de ingeniería social en la gestión de relaciones con los clientes y la subcontratación de procesos comerciales, utilizando páginas de phishing para capturar credenciales de autenticación para Okta, VPN o dispositivos periféricos, según CrowdStrike. Scattered Spider conseguiría objetivos para compartir códigos de autenticación de múltiples factores o los abrumaría con la fatiga de las notificaciones.
“La extorsión de datos es mucho más fácil que implementar ransomware”, dijo Meyers. “No tienes tanto riesgo de detección como lo harías con el malware, que es por definición un código malicioso, y las empresas tienen herramientas para detectarlo. Estás quitando ese peso pesado”.
VER: Nueva Estrategia Nacional de Ciberseguridad: resiliencia, reglas, colaboración y dolor (para atacantes) (República Tecnológica)
La confianza cero es clave para una insurgencia libre de malware
El movimiento de los actores de amenazas que se alejan del ransomware y se acercan a la exfiltración de datos refleja un cambio de equilibrio en el mundo de los hacktivistas, los actores estatales y los ciberdelincuentes: es más fácil capturar datos que lanzar ataques de malware porque muchas empresas ahora tienen sólidas defensas antimalware en su lugar. puntos finales y en otros puntos ventajosos de la infraestructura, según Meyers, quien agregó que la extorsión de datos es un incentivo tan poderoso para el rescate como los sistemas bloqueados.
“Los delincuentes que extorsionan datos están cambiando el cálculo detrás del ransomware”, dijo Meyers. “Los datos son lo más crítico para las organizaciones, por lo que esto requiere una forma diferente de ver un mundo en el que las personas utilizan la información como armas, por ejemplo, amenazando con filtrar datos para interrumpir una organización o un país”.
Meyers dijo que la confianza cero es la forma de contrarrestar esta tendencia porque minimizar el acceso, que cambia el modelo de seguridad de la infraestructura de “confiar y luego verificar”, hace que el movimiento lateral de un atacante sea mucho más difícil, ya que existen más puntos de management en los puntos de acceso más débiles: empleados verificados. quien puede ser engañado.
Crecimiento mundial de hacktivistas, actores de estados-nación y ciberdelincuentes
CrowdStrike agregó a Siria, Turquía y Colombia a su lista existente de países anfitriones de malhechores, según Meyers, quien dijo que las intrusiones interactivas en normal aumentaron un 50% el año pasado. Esto sugiere que los adversarios humanos esperan cada vez más evadir la protección antivirus y las defensas de las máquinas.
VER: LastPass publica nuevas recomendaciones y divulgación de incidentes de seguridad (República Tecnológica)
Entre sus hallazgos fue que las vulnerabilidades heredadas como Log4Shellsiguiendo el ritmo de ProxyNotShell y Follina, solo dos de los 28 días cero y 1200 parches de Microsoft, fueron ampliamente explotados a medida que los adversarios del nexo nacional y el crimen electrónico sortearon los parches y eludieron las mitigaciones.
De nota:
- El espionaje entre China y el nexo aumentó en los 39 sectores industriales globales y 20 regiones geográficas.
- Los actores de amenazas son cada vez más rápidos; el tiempo promedio de fuga del crimen electrónico ahora es de 84 minutos, frente a los 98 minutos en 2021. El equipo Falcon de CrowdStrike mide el tiempo de fuga como el tiempo que tarda un adversario en moverse lateralmente, desde un host inicialmente comprometido a otro host dentro del entorno de la víctima.
- CrowdStrike notó un aumento en el vishing para dirigir a las víctimas a descargar malware y el intercambio de SIM para eludir la autenticación de múltiples factores.
- CrowdStrike vio un aumento en los actores del nexo entre Rusia que emplean tácticas de recopilación de inteligencia e incluso ransomware falso, lo que sugiere la intención del Kremlin de ampliar los sectores y regiones donde las operaciones destructivas se consideran políticamente riesgosas.
Una galería de pícaros de chacales, osos y otros adversarios.
Con los adversarios recientemente rastreados, CrowdStrike dijo que ahora está siguiendo a más de 200 actores. Más de 20 de las nuevas incorporaciones eran adversarios del crimen electrónico, incluidos adversarios de China y Rusia. Incluyen actores que CrowdStrike ha nombrado a Buffalo (Vietnam), Crane (República de Corea), Kitten (Irán), Leopard (Pakistán) y el grupo Hacktivista Jackal, así como otros grupos de Turquía, India, Georgia, China y Corea del Norte.
CrowdStrike también informó que un actor, Gossamer Bear, realizó operaciones de phishing de credenciales en el primer año del conflicto entre Rusia y Ucrania, teniendo como objetivo laboratorios de investigación gubernamentales, proveedores militares, empresas de logística y organizaciones no gubernamentales.
Versatilidad clave para defensores e ingenieros de la nube
Los atacantes están utilizando una variedad de TTP para abrirse paso con calzador en entornos de nube y moverse lateralmente. De hecho, CrowdStrike observó un mayor uso de cuentas en la nube válidas y aplicaciones públicas para el acceso inicial a la nube. La empresa también informó de un mayor número de actores que buscaban el descubrimiento de cuentas en la nube frente al descubrimiento de infraestructura en la nube y el uso de cuentas válidas con mayores privilegios.
Los ingenieros que trabajan en la infraestructura y las aplicaciones de la nube deben ser cada vez más versátiles y comprender no solo la seguridad, sino también cómo administrar, planificar, diseñar y monitorear los sistemas de la nube para un negocio o empresa.
Para obtener información sobre las responsabilidades y los conjuntos de habilidades de la ingeniería en la nube, descargue el Package de contratación de ingenieros en la nube en TechRepublic Premium.
Lea a continuación: Cómo las herramientas de seguridad tradicionales no protegen a las empresas contra el ransomware (República Tecnológica)
