Los ransomware a menudo priorizan la obtención de acceso inicial a las redes específicas, afirma el grupo de inteligencia de seguridad Talos de Cisco.

Como el ransomware continúa siendo el flagelo de los equipos de seguridad empresarial, el grupo de inteligencia de seguridad Talos de Cisco analizó recientemente los grupos de ransomware para identificar técnicas comunes y ofrecer recomendaciones para ayudar al equipo de seguridad a proteger mejor sus negocios.

El phishing para obtener credenciales

Cisco Talos analizó 14 grupos de ransomware importantes entre 2023 y 2024 y estudió el volumen de ataques, el impacto en los clientes y el comportamiento atípico de amenazas. Su investigación incluye datos de los sitios de filtración públicos de los grupos de ransomware, Cisco Talos Incident Response (Talos IR), los esfuerzos de seguimiento interno de Talos y los informes de código abierto.

Según su investigación, “los ransomware más prolíficos priorizan obtener acceso inicial a las redes objetivo, siendo las cuentas válidas el mecanismo más común. El phishing para obtener credenciales a menudo precede a estos ataques, una tendencia observada en todas las intervenciones de respuesta a incidentes”, escribió el analista de Cisco Talos, James Nutland, en un blog sobre la investigación. “Durante el año pasado, muchos grupos han explotado cada vez más vulnerabilidades conocidas y de día cero en aplicaciones públicas, lo que las convierte en un vector de acceso inicial predominante”.

Actividades cibercriminales más dirigidas a empresas pequeñas

Talos detectó algunos cambios importantes en el espacio del ransomware durante el año pasado, incluido «el surgimiento de múltiples grupos nuevos de ransomware, cada uno con objetivos, estructuras operativas y victimología únicos. La diversificación destaca un cambio hacia actividades cibercriminales más dirigidas a empresas pequeñas, ya que grupos como Hunters International, Cactus y Akira se abren paso en nichos específicos, centrándose en objetivos operativos distintos y elecciones estilísticas para diferenciarse», escribió Nutland.

“Los hallazgos clave indican que muchos de los grupos más destacados en el ámbito del ransomware priorizan el establecimiento de un acceso inicial y la evasión de las defensas en sus cadenas de ataque, destacando estas fases como puntos focales estratégicos. Durante el último año, muchos grupos han explotado vulnerabilidades críticas en aplicaciones públicas, convirtiéndose en un vector de ataque predominante, que abordamos más adelante, lo que indica una mayor necesidad de controles de seguridad adecuados y gestión de parches”.

Las técnicas comunes de los atacantes de ransomware incluyen la desactivación y modificación de software de seguridad como programas antivirus, soluciones de detección de puntos finales o funciones de seguridad en el sistema operativo para evitar la detección de la carga útil del ransomware, escribió Nutland.

Métodos de evasión de defensa

Para evitar ser detectados, los ransomware emplean “métodos de evasión de defensa”, como deshabilitar o modificar el software de seguridad, incluidos los programas antivirus y las soluciones de detección de endpoints. También suelen intentar deshabilitar las funciones de seguridad en el sistema operativo para evitar la detección de la carga útil del ransomware”, escribió Nutland. “Los adversarios también suelen ofuscar el software malicioso empaquetando y comprimiendo el código, que finalmente se descomprime en la memoria cuando se ejecuta. También modifican el registro del sistema para deshabilitar las alertas de seguridad, configurar el software para que se ejecute al inicio o bloquear ciertas opciones de recuperación para los usuarios”.

Te pordría interesar:

Ataques de Ransomware Rompe Records por Pago de USD$22M

La firma de ciberseguridad Recorded Future contabilizó 44 incidentes relacionados con el sector salud en el mes

Talos detectó una serie de tendencias adicionales de ransomware

Explosiones de MFA

Los adversarios pueden enviar correos electrónicos que contienen archivos adjuntos maliciosos o enlaces URL que ejecutarán código malicioso en el sistema de destino, implementando las herramientas y explotando la autenticación multifactor (MFA). Hay muchas formas en las que los adversarios esperan eludir la MFA, ya sea por una mala implementación o porque ya tienen credenciales de cuenta válidas. En particular, hemos visto un número cada vez mayor de afiliados de ransomware que intentan explotar vulnerabilidades o configuraciones incorrectas en sistemas conectados a Internet, como en software heredado o sin parches.

Búsqueda de acceso a largo plazo

Los atacantes a menudo utilizan mecanismos de persistencia de malware automatizados, como la ejecución de AutoStart al iniciar el sistema o modifican las entradas del registro. También se pueden implementar herramientas de software de acceso remoto y crear cuentas locales, de dominio o en la nube para establecer un acceso con credenciales secundario.

Enumeración de los entornos de destino

Al establecer un acceso persistente, las amenazas intentarán enumerar el entorno de destino para comprender la estructura de la red, localizar recursos que puedan respaldar el ataque e identificar datos valiosos que puedan ser robados en una doble extorsión. Utilizando diversas utilidades locales y servicios legítimos, explotan los controles de acceso débiles y elevan los privilegios al nivel de administrador para avanzar más en la cadena de ataque.

Uso de utilidades de escáner de red

Hemos observado el uso popular de muchas utilidades de escáner de red junto con herramientas y utilidades del sistema operativo local (binarios que viven fuera de la tierra) como Certutil, Wevtutil, Net, Nltes y Netsh para combinarse con funciones típicas del sistema operativo, explotar aplicaciones y procesos confiables y ayudar en la distribución de malware”.

Doble extorsión

En el cambio de enfoque hacia un modelo de doble extorsión, muchos adversarios recopilan información sensible o confidencial para enviarla a un recurso externo controlado por el adversario o a través de algún mecanismo C2. Las utilidades de compresión y cifrado de archivos WinRAR y 7-Zip se han utilizado para ocultar archivos para la transferencia no autorizada de datos, mientras que los adversarios a menudo exfiltran archivos utilizando las herramientas RMM legítimas mencionadas anteriormente. Las operaciones RaaS más maduras han desarrollado y utilizado herramientas de exfiltración de datos personalizadas, que ofrecen herramientas personalizadas como Exbyte (BlackByte) y StealBit (LockBit) para facilitar el robo de datos.

No solo buscan acceder a su red

A principios de este año, Talos escribió que los actores maliciosos que perpetran ataques de amenazas persistentes avanzadas (APT) no solo buscan acceder a su red. Quieren colarse y quedarse para recopilar datos valiosos o trazar planes para futuros ataques. Las amenazas posteriores a la vulneración están aumentando y están dirigidas principalmente a la infraestructura de red antigua y a los dispositivos de borde que ya pasaron la etapa de fin de vida útil y pueden tener vulnerabilidades críticas sin parchear.

Según Nutland, algunas de las medidas que pueden adoptar las empresas para combatir los ataques de ransomware incluyen la aplicación periódica y constante de parches y actualizaciones a todos los sistemas y software para abordar las vulnerabilidades de inmediato y reducir el riesgo de explotación. “Implementar políticas de contraseñas seguras que requieran contraseñas complejas y únicas para cada cuenta. Además, aplicar la autenticación multifactor (MFA) para añadir una capa adicional de seguridad”, afirmó Nutland.

Segmentar la red para aislar los datos y sistemas sensibles, evitando el movimiento lateral en caso de una vulneración. Además de utilizar mecanismos de control de acceso a la red como 802.1X para autenticar los dispositivos antes de conceder acceso a la red, garantizando así que solo se realicen conexiones de dispositivos autorizados, escribió Nutland.

“Implementar un sistema de Gestión de Eventos e Información de Seguridad (SIEM) para monitorear y analizar continuamente los eventos de seguridad, además de la implementación de soluciones EDR/XDR en todos los clientes y servidores para brindar capacidades avanzadas de detección, investigación y respuesta ante amenazas”, escribió Nutland.

Información adicional: https://blog.talosintelligence.com/common-ransomware-actor-ttps-playbooks/

La ingeniaría social, está experimentando un marcado aumento de las estafas y el phishing en línea, y la Interpol informa de un aumento de estas actividades maliciosas dirigidas a personas vulnerables. BDO en el Reino Unido también señaló que los casos de fraude aumentaron más del doble el año pasado hasta la asombrosa cifra de 2.300 millones de libras, impulsados ​​principalmente por ataques de phishing y violaciones del sistema. Estas estadísticas subrayan las sofisticadas tácticas empleadas por los ciberdelincuentes y la urgente necesidad de que las empresas refuercen sus defensas.

El poder del engaño: la ingeniería social en los ciberataques

La ingeniería social sigue siendo un método principal en los ciberataques, y el 98% de ellos implica alguna forma de esta táctica engañosa. Al manipular a las personas para que revelen información confidencial, los cibercriminales tienden una amplia red, atrapando a todo tipo de personas, desde ancianos hasta parejas jóvenes. Las suplantaciones de identidad de alto perfil, como las de Martin Lewis, Currys y la BBC, ponen de relieve el amplio alcance de estas estafas. Estos incidentes no solo tienen que ver con pérdidas financieras , sino que erosionan la confianza y crean un clima de miedo e incertidumbre.

Nadie es inmune.

Las estafas relacionadas con las compras navideñas aumentaron un 7% durante el último año, y las víctimas perdieron una media de 765 libras, según Lloyds Bank. Más del 70% de estas estafas se producen ahora en las redes sociales , los mercados online y las aplicaciones de citas . Las consecuencias son graves y van desde pérdidas económicas hasta robos de identidad, y muchos incidentes no se denuncian debido a los métodos inteligentes que utilizan los perpetradores. Las víctimas también suelen sentirse avergonzadas o se culpan a sí mismas, lo que contribuye aún más a que no se denuncien estos delitos.

Ataques de ingeniería social

A pesar de la creciente concienciación, muchos usuarios siguen siendo víctimas de ataques de ingeniería social, a menudo debido a malas prácticas de seguridad . Y se puede hacer más para garantizar que los usuarios sigan las mejores prácticas. La Institución de Ingeniería y Tecnología (IET) descubrió que el 20% del público del Reino Unido usa la misma contraseña en varios dispositivos, y muchos optan por opciones fáciles de adivinar, como nombres de mascotas o fechas importantes como cumpleaños o aniversarios. Históricamente, la responsabilidad de mantenerse a salvo ha recaído en los usuarios, pero es hora de que las marcas den un paso al frente.

Las marcas deben orientar

Las marcas desempeñan un papel crucial a la hora de mejorar la seguridad y la confianza de los usuarios. Pueden orientarlos sobre cómo manejar las comunicaciones sospechosas y destacar la importancia de verificar las identidades antes de responder a las solicitudes. Con la llegada de la suplantación de voz mediante inteligencia artificial y la suplantación de identidad de llamadas, las marcas deben aumentar sus medidas de protección. La protección y el control proactivos de las actividades fraudulentas, la alerta rápida a los usuarios y la oferta de asistencia directa pueden mitigar significativamente los riesgos. Al tomar estas medidas proactivas, las marcas no solo protegen a sus usuarios, sino que también construyen relaciones más sólidas y de mayor confianza con ellos.

Los consumidores exigen más proactividad

El auge de las aplicaciones móviles presenta una oportunidad de oro para que los desarrolladores de aplicaciones mejoren la confianza y la seguridad de los usuarios. Un impresionante 82,4 % de los consumidores a nivel mundial exige un enfoque más proactivo de los desarrolladores para proteger sus experiencias digitales. Esto es crucial, ya que las repercusiones de las amenazas cibernéticas se extienden más allá de los consumidores a las propias marcas. Una sola violación de la seguridad puede causar un daño irreparable a la reputación de una marca y generar pérdidas financieras sustanciales.

Las marcas deben gestionar los riesgos de seguridad

Una estrategia de seguridad sólida puede mejorar la percepción y la lealtad de la marca. Al gestionar los riesgos de seguridad de manera eficaz, las marcas pueden evitar costosas infracciones y mantener la confianza de los consumidores, lo que evita la erosión de la confianza y la pérdida de clientes que suelen producirse tras las fallas de seguridad. Demostrar un compromiso con la protección de los usuarios no solo protege la reputación de una marca, sino que también estabiliza los costos de adquisición de clientes al fomentar la lealtad y la satisfacción.

Las marcas que priorizan la seguridad pueden diferenciarse en el mercado, creando una ventaja competitiva que atraiga y retenga a los clientes. También pueden crear y fomentar una comunidad que valore la seguridad. Las marcas pueden empoderar a las personas para que tomen medidas proactivas en sus interacciones digitales. Alentar a los usuarios a denunciar actividades sospechosas y brindarles las herramientas para hacerlo puede reducir significativamente el impacto de las amenazas cibernéticas.

Un frente unificado contra las ciberamenazas

A medida que evoluciona el cibercrimen, las marcas deben reconocer y combatir la ingeniería social, que es fundamental para el fraude en línea. Al emplear herramientas avanzadas como el análisis de comportamiento para detectar actividades dañinas y tecnologías para frustrar amenazas como el control de escritorio remoto, la omisión de FaceID y el intercambio de SIM, las marcas pueden contrarrestar estos riesgos de manera eficaz.

El uso estratégico de estas tecnologías, combinado con un firme compromiso con la prevención del fraude, permite a las marcas desmantelar las intrincadas redes de engaño que ponen en peligro a muchos usuarios. Al adoptar un enfoque ciberresiliente, las marcas no solo desbaratan los esquemas fraudulentos, sino que también priorizan el elemento humano en la seguridad.

Las marcas de telefonía móvil pueden fortalecer sus relaciones con los usuarios y restaurar la confianza en el panorama digital centrándose en la protección individual, la seguridad de los datos y la reconstrucción de la confianza. Es el momento de actuar, ya que el futuro de la seguridad móvil está en manos de quienes lideran la protección de sus usuarios.

Recursos adicionales:

Techradar: https://www.techradar.com/pro/examining-the-impact-of-cybercrime-and-online-fraud

Sangfor: https://www.sangfor.com/blog/cybersecurity/att-data-breach-over-73-million-customer-data-exposed

La inteligencia artificial (IA) se está convirtiendo rápidamente en una piedra angular del funcionamiento inteligente de las empresas. Según una investigación reciente de IBM, más de una de cada tres empresas del Reino Unido (37%) utiliza activamente la IA en sus operaciones y el 41% está experimentando con esta tecnología.

Aplicaciones de la IA en la Industria

Desde la identificación de fraudes financieros hasta la predicción de cambios ambientales en las cadenas de suministro, los modelos de IA diseñados específicamente se están incorporando cada vez más a las formas de trabajar para mejorar la eficiencia y abordar los desafíos de la industria.

Seguridad y Resiliencia de las Soluciones de IA

Garantizar que estas soluciones sean seguras y resistentes a las amenazas desde el principio es vital para evitar interrupciones masivas y posibles fugas de datos. El Marco de Gestión de Riesgos de Inteligencia Artificial (AI RMF) del NIST ofrece un modelo valioso para la gestión responsable de la IA, pero esto es solo un punto de partida, no la meta final. Para proteger realmente a las organizaciones, los CISO deben pensar como un atacante y exponer esos puntos ciegos de la IA antes de que alguien más lo haga.

Identificación de Amenazas y Modelado de Riesgos

Esto requiere pensar más allá de los errores accidentales y centrarse en detener los ataques deliberados, los resultados sesgados y el potencial de manipulación. Al aprovechar el modelado de amenazas (el proceso de identificación de tipos de amenazas en el ciclo de vida del desarrollo de software, SDLC), los CISO y los desarrolladores pueden abordar de manera proactiva los riesgos de la IA y generar resiliencia en los productos.

Integración Práctica del Modelado de Amenazas

La integración práctica del modelado de amenazas se puede lograr siguiendo estos cuatro pasos clave:

Paso 1: Sentar las Bases

Al crear un nuevo sistema de IA, comience por desarrollar una política sólida de modelado de amenazas de IA para establecer pautas claras para su desarrollo, uso y mantenimiento. El objetivo es trazar un mapa de los riesgos potenciales asociados con su solución y el impacto potencial de las decisiones de IA manipuladas dentro de su organización.

• Identificación de Riesgos: Comience por pensar en sus sistemas de IA más críticos. ¿Cuáles son los riesgos más prioritarios de su organización asociados con estos sistemas? Considere el impacto de las violaciones de datos, los resultados sesgados y la manipulación de algoritmos en diferentes aspectos de la organización, como sus finanzas, reputación y seguridad.
• Fuente de las Amenazas: Al establecer los riesgos, también hay que tener en cuenta de dónde provienen las amenazas, tanto internas como externas. Una vez delineados, se pueden empezar a mitigar estos riesgos abordando las pruebas de sesgo, los mecanismos de rendición de cuentas y la transparencia en las decisiones de IA; estas son áreas clave que se deben incluir en la política de modelado de amenazas de IA.

Paso 2: Modelo de Amenaza

Una vez que haya definido su apetito de riesgo y el contexto del modelo de amenazas, puede comenzar a desarrollar un marco de modelado de amenazas más completo.

• Desarrollo del Modelo: Esto puede ser tan simple como crear un diagrama de flujo para visualizar la forma en que se mueven los datos dentro de sus sistemas de IA y dónde interactúan con los sistemas externos. Aquí, debe prestar especial atención a la forma en que se manejan los datos confidenciales y los posibles puntos de exposición, priorizando la protección de datos y el cumplimiento normativo en cada paso del proceso de desarrollo.
• Identificación Detallada de Riesgos: Cuanto más detallado sea su modelo de amenazas, más fácil será identificar riesgos, incluso aquellos en los que aún no haya pensado. Al crear estas conexiones, sea específico. No solo identifique que su IA de monitoreo se integra con una base de datos de clientes, sino que detalle los campos exactos extraídos (PII, historial de transacciones, etc.), el protocolo de transferencia (llamada API interna, proceso por lotes nocturno) y cualquier otro software que también tenga acceso.
• Consideración de Escenarios de Vulnerabilidad: Para reforzar la resiliencia del producto, considere los diferentes escenarios en los que la integridad de los datos podría verse comprometida, los algoritmos podrían manipularse o podrían introducirse sesgos, tanto por errores accidentales como por intenciones maliciosas. Piense también en la probabilidad de que se produzcan estos eventos, así como en su impacto.

Paso 3: Prueba de Estrés de su Sistema

Ahora que ha delineado los parámetros de las amenazas potenciales y las ha mitigado, debería probar su sistema de IA con conjuntos de datos.

• Pruebas Internacionales: El uso de conjuntos de datos de otros países con patrones de actividad muy diferentes ayudará a revelar posibles puntos ciegos. Por ejemplo, si es una organización financiera con sede en EE. UU., intente probar conjuntos de datos financieros de otro país.
• Modificación de Formatos: Si después de las pruebas de estrés no parece haber problemas, intente modificar sutilmente el formato de aplicaciones que parecen legítimas para exponer debilidades inesperadas en la forma en que su IA maneja la información. La clave es monitorear y probar constantemente sus sistemas de IA para estar un paso por delante de los actores de amenazas y corregir las vulnerabilidades antes de que causen problemas mayores.

Paso 4: Actuar y Adaptarse

El panorama de la ciberseguridad cambia constantemente y la tecnología avanza rápidamente. Para garantizar que su modelo de amenazas se mantenga al día con estos cambios, revíselo periódicamente después de los incidentes y busque incorporar nueva información sobre amenazas relevante para su industria.

• Lecciones Aprendidas: En cada ataque o violación de seguridad cibernética hay una lección que aprender. Incluso si la violación de seguridad le ha ocurrido a otra organización, usted puede probar y fortalecer sus propios sistemas imitando el tipo de ataque en un entorno controlado y seguro.
• Adaptación Continua: Mantenerse ágil como empresa significa adaptarse al nuevo panorama, entendiendo las amenazas nuevas y emergentes y creando resiliencia en el desarrollo de productos de manera oportuna.

Conclusión

El potencial de la IA para la innovación y la disrupción es innegable. A medida que se vuelve más intrínseca a las formas en que operan las empresas, las organizaciones deben asegurarse de que estos modelos se prueben y se pongan a prueba para generar una mayor resiliencia frente a las amenazas emergentes. Sin embargo, el modelado de amenazas no solo tiene que ver con la mitigación del riesgo, sino que es un elemento central del liderazgo responsable de la IA que debería adoptar toda organización que utilice esta tecnología. Los CISO que incorporan los principios del modelado de amenazas en el desarrollo de la IA se posicionan a sí mismos y a sus organizaciones a la vanguardia de la adopción de la IA de manera confiable, obteniendo una ventaja competitiva en un mundo cada vez más impulsado por los datos.

Recurso adicional: https://www.ibm.com/artificial-intelligence