Para 2019 se espera que los ciberdelincuentes menos capacitados vayan desapareciendo del mapa, mientras que los más aptos se volverán más inteligentes y fuertes, de acuerdo con el Reporte de Amenazas de SophosLabs 2019.
De esta forma, se creará una especie de híbrido del atacante dirigido y el proveedor ordinario de software malicioso, que utilizarán técnicas de piratería manual, no para espionaje o sabotaje, sino para mantener su flujo de ingresos ilícitos.
3 comportamientos y ciberataques clave para 2019
1. Ransomware dirigido
Los ciberdelincuentes están recurriendo a ataques de ransomware dirigidos que son premeditados y suponen botines de millones de dólares.
Estos ataques son diferentes a los del tipo spray and pray que se distribuyen automáticamente a través de una gran cantidad de correos electrónicos.
El ransomware dirigido es más dañino que aquel enviado desde un bot, ya que los atacantes pueden encontrar y vigilar a las víctimas, pensar lateralmente, solucionar problemas y eliminar las copias de seguridad.
Los expertos de Sophos creen que el éxito financiero de SamSam, BitPaymer y Dharma inspiran ataques de imitación y esperan que sucedan más en 2019.
2. Amenazas Persistentes Avanzadas
Los cibercriminales utilizan herramientas de administración de sistemas de Windows. El informe de este año descubrió un cambio en la ejecución de amenazas: los atacantes ahora emplean técnicas avanzadas de amenaza persistente (Advanced Persistent Threat o APT) para usar herramientas de TI disponibles como un camino para avanzar a través de un sistema y completar su misión, ya sea robar información confidencial del servidor o ejecutar el ransomware:
- Convierten las herramientas de administración en herramientas de ciberataques: Los cibercriminales están utilizando herramientas de administración de TI de Windows esenciales o integradas, incluidos archivos Powershell y ejecutables de Windows Scripting, para desplegar ataques de malware a los usuarios.
• Los cibercriminales juegan dominó: Al encadenar una secuencia de diferentes tipos de scripts que ejecutan un ataque, los hackers pueden provocar una reacción en cadena antes de que los administradores de TI detecten que una amenaza está operando en la red, una vez que entran es difícil detener su ejecución.
• Adoptan nuevos exploits de Office para atraer a las víctimas: Las vulnerabilidades de Office han sido durante mucho tiempo un vector de ataque, pero recientemente los cibercriminales han eliminado las antiguas a favor de las nuevas.
• EternalBlue es una herramienta clave para los ataques de cryptojacking: Las actualizaciones de parches aparecieron hace más de un año para remediar esta vulnerabilidad de Windows, pero el exploit EternalBlue sigue siendo uno de los favoritos de los ciberdelincuentes. El acoplamiento de EternalBlue al software de criptominería logró que un pasatiempo molesto se convirtiera en una carrera criminal potencialmente lucrativa. La distribución lateral en las redes corporativas permitió que el cryptojacker infectara rápidamente varias máquinas, incrementando los pagos al hacker con altos costos para el usuario.
3. Malware dirigido a móviles e IoT
El malware sigue amenazando a los dispositivos móviles e IoT: El impacto del software malicioso se extiende más allá de la infraestructura de la organización, se nota un rápido crecimiento en las amenazas a los móviles.
Con el aumento en las aplicaciones ilegales de Android, en el 2018 se vio un mayor enfoque en el malware a través de los teléfonos móviles, tabletas y otros dispositivos IoT.
A medida que los hogares y las empresas adoptan más dispositivos conectados a internet, los delincuentes crean nuevas formas de secuestrar los aparatos para usarlos como nodos en enormes ataques de botnets.
En 2018, VPNFilter demostró el poder destructivo del malware armado que afecta a sistemas integrados y dispositivos en red que no tienen una interfaz de usuario obvia. Por otro lado, Mirai Aidra, Wifatch y Gafgyt lanzaron una serie de ataques automatizados que secuestraron dispositivos de red para usarlos como nodos en redes de bots, para participar en ataques distribuidos de denegación de servicio, extraer criptomonedas e infiltrarse en las redes.