En el segundo trimestre de 2023, la amenaza más prominente se ha traducido en un impactante 30% de las amenazas totales: el robo de datos, eclipsando incluso a las amenazas de web shell y ransomware, de acuerdo con el más reciente reporte de ciberamenazas de Cisco Talos.
Incremento vertiginoso en la extorsión por robo de datos
En una marcada tendencia, el reporte señala un aumento del 25% en los incidentes de extorsión por robo de datos, comparado con el trimestre precedente.
Estos eventos, en crecimiento en comparación con periodos anteriores, coadyuvan a los informes públicos que dan cuenta de grupos de ransomware en constante crecimiento, que no solo se apoderan de datos, sino que extorsionan a sus víctimas sin recurrir a la encriptación de archivos o la implementación de ransomware.
El ransomware y las cifras emergentes
El ransomware, aun siendo la segunda amenaza más notoria del trimestre, ascendió al 17% de los casos, experimentando un sutil incremento desde el 10% del trimestre previo.
Por otro lado, las amenazas de web shell disminuyeron, representando un declive marcado en comparación con el rápido crecimiento que habían experimentado en el primer trimestre.
Salud bajo fuego: la industria más vulnerable
La tendencia persiste: el sector de la salud continúa en el epicentro de los ataques, encabezando la lista como la industria más afectada con un alarmante 22% del total de compromisos de respuesta a incidentes en el trimestre. Le sigue de cerca el sector financiero.
Vías de acceso y recomendaciones cruciales
Un mecanismo clave de infiltración detectado durante el trimestre fue el aprovechamiento de credenciales comprometidas o cuentas válidas, responsables de casi el 40% de todas las redes comprometidas.
El reporte subraya que identificar el origen de estas credenciales comprometidas puede ser un reto, ya que algunas veces se originan fuera del campo de visión de la empresa, como credenciales almacenadas en dispositivos personales de empleados comprometidos.
Notablemente, el 10% de incremento respecto al trimestre anterior fue en cuentas que carecían de autenticación multifactor (MFA) o solo la tenían activada en ciertas cuentas y servicios críticos.
En este contexto, Talos IR insiste en la necesidad de llevar a cabo auditorías exhaustivas de contraseñas en todas las cuentas de usuario y servicio, garantizando que cumplan con los estándares de seguridad recomendados por la industria.
También recomienda la desactivación de cuentas de proveedores y contratistas cuando no sean esenciales, junto con la implementación de políticas de acceso mínimo y la activación de registros y supervisión de seguridad en estas cuentas específicas.
Nuevos actores y herramientas persistentes
El grupo Clop, inicialmente un servicio de ransomware-as-a-service (RaaS), captó la atención al explotar una importante vulnerabilidad en el software de transferencia de archivos MOVEit. Esto desencadenó una serie de robos de datos que impactaron a más de 200 compañías a comienzos de julio.
Mientras Talos IR aún no ha respondido a incidentes relacionados con esta vulnerabilidad en MOVEit, se ha observado al grupo Clop explotando una vulnerabilidad diferente en el software de transferencia de archivos GoAnywhere.
PowerShell persistente y explotación de vulnerabilidades
La utilidad de línea de comandos dinámica, PowerShell, persiste como la herramienta elegida por los cibercriminales en más del 50% de los eventos del trimestre. Su elección se basa en su sigilo, conveniencia y amplias capacidades de administración de TI.
Además, la explotación de vulnerabilidades en aplicaciones de acceso público disminuyó notablemente al 22% en comparación con el trimestre anterior, que había registrado un alarmante 45%.
Refuerzo imprescindible de la seguridad
El panorama es claro: los cibercriminales continúan evolucionando y adaptándose. En este contexto, las organizaciones deben considerar medidas cruciales de seguridad como la autenticación de doble factor (MFA) y soluciones de detección y respuesta en los puntos finales de sus redes. Enfrentar estas cifras implacables demanda una acción firme y proactiva.
