Los servicios financieros fueron el sector más atacado por actores malintencionados durante el tercer trimestre de 2021, con un 22 % de detecciones de ransomware y un 37 % de detecciones de amenazas persistentes avanzadas (APT), la mayoría vinculadas a grupos respaldados por Beijing y Moscú.
Eso es según un informe de investigación de amenazas recientemente publicado compilado por Trellix, una nueva compañía cibernética formada en enero de 2022 a partir de lo que era McAfee Enterprise y FireEye. Encontró que los incidentes informados públicamente en el sector de servicios financieros aumentaron un 21% entre julio y septiembre de 2021 en comparación con los tres meses anteriores.
Trellix informó que, a pesar de que a fines de 2021 hubo una especie de ajuste de cuentas para los equipos de ransomware, algunos se desconectaron gracias a la acción internacional coordinada y muchos foros clandestinos intentaron eliminar la actividad de ransomware por su propia cuenta, el uso de ransomware persistió. y proliferó en un espectro cada vez mayor de sectores.
“A pesar de que los sectores financiero, de servicios públicos y minorista representan casi el 60 % de todas las detecciones de ransomware, ninguna empresa o industria está a salvo de un ataque, y estos hallazgos deberían servir como un recordatorio de esto”, dijo Fabien Rech, vicepresidente de Trellix EMEA. “A medida que los ciberdelincuentes adaptan sus métodos para atacar los datos y servicios más confidenciales, las organizaciones deben reforzar sus defensas para mitigar futuras amenazas.
“Para hacer esto, las empresas deben implementar una estrategia de seguridad que incluya una plataforma viva que pueda aprender y adaptar las defensas en función de la amenaza. Esta plataforma genera y prioriza información integral sobre amenazas tanto desde fuera como desde dentro de la empresa para fortalecer la detección de forma adaptativa y responde en tiempo real a las amenazas activas.
“A medida que la amenaza del ransomware continúa creciendo, las empresas deben confiar en una tecnología que se mueva tan rápido como los ciberdelincuentes y que pueda adaptarse en tiempo real para salir adelante. Desafortunadamente, no adoptar este enfoque solo significa que las empresas se exponen a un ataque”.
Saryu Nayya, CEO y fundadora de Gurucul, dijo que no estaba sorprendida por la lista de industrias más objetivo. “O tienen la información más importante para robar o la interrupción puede ser catastrófica para su negocio o sus partes interesadas”, dijo.
“Los atacantes están modificando sus técnicas de manera constante y esto incluye variantes en ataques exitosos que pueden evadir la mayoría de las plataformas XDR y SIEM tradicionales actuales.
“Si bien se han incorporado análisis basados en reglas en estas plataformas, a menudo declarados falsamente como aprendizaje automático o inteligencia artificial, la mayoría de ellos solo son útiles para determinar ataques conocidos y, a menudo, desencadenan demasiados eventos.
“Esto hace que los equipos de seguridad persigan demasiadas amenazas menores o falsos positivos, mientras que los ataques emergentes más peligrosos pasan desapercibidos durante demasiado tiempo. La infraestructura financiera y crítica y los minoristas deben investigar e invertir en soluciones de seguridad más avanzadas, incluso cuando los atacantes han tenido éxito en refinar sus capacidades para apuntar específicamente a estos grupos”.
Trellix de enero de 2022 Informe de amenazas avanzado también contiene información nueva sobre el panorama de amenazas hacia fines de 2021. Cabe destacar en particular una marcada maduración en las técnicas utilizadas por los grupos APT para eludir los controles de seguridad, acceder a sus redes objetivo y realizar ataques cibernéticos. El siempre popular marco de pruebas de penetración Cobalt Strike se detectó en más de un tercio de las campañas APT rastreadas, y Mimikatz, una herramienta posterior a la explotación utilizada para obtener un acceso más profundo y escalar privilegios, se detectó en más de una cuarta parte de las campañas.
Los actores de amenazas también utilizan cada vez más software ya instalado en los sistemas de destino para respaldar sus ataques; esto se conoce como vivir de la tierra (LotL) y es cada vez más favorecido tanto por APT de estados nacionales como por ciberdelincuentes motivados financieramente para desarrollar herramientas avanzadas internamente. .
Como ejemplo de esto, Trellix dijo que observó que PowerShell se usaba en el 42 % de las detecciones de LotL y Windows Command Shell en el 40 %, en ambos casos para ejecutar comandos y obtener acceso. Otras herramientas operativas nativas actualmente favorecidas incluyen Rundll32, WMIC y Excel, y herramientas de servicios remotos de administración como AnyDesk, ConnectWise Control, RDP y WinSCP.
Raj Samani, científico jefe y miembro de Trellix, dijo: “Si bien terminamos 2021 enfocados en una pandemia resurgente y las revelaciones sobre la vulnerabilidad Log4j, nuestra inmersión profunda del tercer trimestre en la actividad de amenazas cibernéticas encontró nuevas herramientas y tácticas notables entre los grupos de ransomware y Actores avanzados de amenazas globales.
“Este informe brinda una mayor visibilidad sobre el uso y abuso de personas de grupos de ransomware, cómo los actores APT de los estados nacionales buscan profundizar en las finanzas y otras industrias críticas, y nuevos ataques de vida fuera de la tierra que explotan las herramientas nativas del sistema de Microsoft en nuevos formas.”
El informe completo también contiene nuevas estadísticas sobre algunas de las familias de malware más populares que circulan actualmente: Formbook, Remcos RAT y LokiBot entre ellos representaron casi el 80% de las detecciones, y más.