Alerta en la nube: CrowdStrike revela ataques y robos de datos

La firma de ciberseguridad CrowdStrike, que rastrea las actividades de actores de amenazas globales, reportó el mayor aumento de adversarios que jamás haya observado en un año, identificando 33 nuevos actores de amenazas y un aumento del 95% en ataques a arquitecturas en la nube. Los casos que involucran a actores "conscientes de la nube" casi se triplicaron desde 2021.

Alerta en la nube: CrowdStrike revela ataques y robos de datos - Seguridad | Imagen 1 Newsmatic

"Este crecimiento indica una tendencia más amplia de actores del cibercrimen y actores estatales que adoptan conocimientos y técnicas para aprovechar cada vez más los entornos en la nube", dijo CrowdStrike en su Informe Global de Amenazas 2023.

Índice de Contenido
  1. Los cielos están nublados para la seguridad en la nube
  2. Con los defensores escaneando en busca de malware, la extracción de datos es más fácil
    1. Los ciberdelincuentes se desplazan del ransomware al robo de datos para la extorsión
  3. La confianza cero es clave para una insurgencia sin malware
  4. Crecimiento mundial de hacktivistas, actores estatales y ciberdelincuentes
  5. Una galería de adversarios que incluye chacales, osos y otros
  6. La versatilidad es clave para los defensores y los ingenieros de la nube

Los cielos están nublados para la seguridad en la nube

Además de los nuevos actores de amenazas identificados, el informe de CrowdStrike también identificó un aumento en las amenazas basadas en la identidad, las explotaciones en la nube, el espionaje estatal y los ataques que reutilizaron vulnerabilidades previamente parcheadas.

También hubo un aumento del triple en la explotación de la nube, con actores de amenazas centrados en infiltrar contenedores y otros componentes de las operaciones en la nube, según Adam Meyers, vicepresidente senior de inteligencia en CrowdStrike.

"Esto fue un aumento masivo", dijo Meyers, señalando que hubo un aumento del 288% en "adversarios conscientes de la nube" el año pasado, y que el cambio tectónico de las empresas hacia plataformas nativas en la nube hace que el entorno sea atractivo para los hackers.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"Hace quince años, las computadoras Mac eran más seguras que cualquier otra, y la razón no era porque las Mac fueran inherentemente seguras, sino porque constituían una parte tan pequeña del mercado que los atacantes no las priorizaban", dijo Meyers, agregando que la nube estaba en la misma posición. "Estaba ahí afuera, pero no era de interés para los actores atacarla.

"Hoy en día obtienes seguridad en la nube directamente desde el principio, pero debes monitorearla continuamente, hacer cambios y personalizarla, lo que cambia la postura de seguridad de una organización en la nube".

Según CrowdStrike, los actores conscientes de la nube obtienen acceso inicial a la nube utilizando cuentas válidas, restableciendo contraseñas o colocando "web shells" diseñados para persistir en el sistema, luego intentan obtener acceso a través de credenciales y servicios de metadatos de instancia de proveedores en la nube.

En la mayoría de los casos, los actores de amenazas tomaron acciones maliciosas como eliminar el acceso a las cuentas, terminar servicios, destruir datos y eliminar recursos. El informe encontró que:

  • El 80% de los ciberataques utilizó técnicas basadas en la identidad para comprometer credenciales legítimas y tratar de evadir la detección.
  • Hubo un aumento del 112% interanual en anuncios de servicios de intermediarios de acceso, como parte del panorama de amenazas del cibercrimen relacionado con la venta de acceso a actores de amenazas.

Con los defensores escaneando en busca de malware, la extracción de datos es más fácil

La investigación de ciberseguridad de CrowdStrike reveló un cambio continuo lejos del uso de malware el año pasado, con actividades sin malware representando el 71% de todas las detecciones en 2022, frente al 62% en 2021. Esto se debió en parte al prolífico abuso de las credenciales válidas por parte de los adversarios para facilitar el acceso y la persistencia en los entornos de las víctimas.

Martin Mao, CEO de la empresa de observabilidad nativa en la nube Chronosphere, dijo que la ubicuidad del monitoreo de endpoints en tiempo real hizo que la inserción de malware fuera menos atractiva.

Cómo proteger tu computadora de los virus: métodos y consejos

"El malware ahora es mucho más fácil de monitorear; hay soluciones estandarizadas para resolver este tipo de ataques que proporcionan infraestructura de red para mitigarlos", dijo Mao.

La revelación de la semana pasada de un ataque al gestor de contraseñas LastPass, con 25 millones de usuarios, dice mucho sobre la dificultad de defenderse contra los ladrones de datos que ingresan mediante ingeniería social o vulnerabilidades que normalmente no son objetivo de malware. La insurgencia, el segundo ataque contra LastPass por el mismo actor, fue posible porque el ataque apuntó a una vulnerabilidad en el software de medios en la computadora personal de un empleado, lo que permitió a los atacantes obtener un tesoro de datos de clientes sin cifrar.

"¿Cómo se detecta la compromiso de las credenciales?" dijo Mao. "No hay forma de encontrarlo; no hay forma de que lo sepamos, en parte porque el área de ataque es mucho más grande y casi imposible de supervisar".

Los ciberdelincuentes se desplazan del ransomware al robo de datos para la extorsión

Según la estimación de CrowdStrike, hubo un aumento del 20% en el número de adversarios que llevan a cabo el robo de datos y la extorsión el año pasado.

Un atacante, al que CrowdStrike denominó Slippery Spider, lanzó ataques de alto perfil en febrero y marzo de 2022 que, según el informe, incluyeron robo de datos y extorsión dirigidos a Microsoft, Nvidia, Okta, Samsung y otros. El grupo utilizó canales públicos de Telegram para filtrar datos, incluidos el código fuente de las víctimas, credenciales de empleados e información personal.

Otro grupo, Scattered Spider, centró sus esfuerzos de ingeniería social en la gestión de relaciones con clientes y la subcontratación de procesos empresariales, utilizando páginas de phishing para capturar credenciales de autenticación de Okta, VPN o dispositivos de borde, según CrowdStrike. Scattered Spider lograba que sus objetivos compartieran códigos de autenticación de múltiples factores o los abrumaba con una gran cantidad de notificaciones.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

"El robo de datos es mucho más fácil que desplegar ransomware", dijo Meyers. "No hay tanto riesgo de detección como con el malware, que es por definición un código malicioso, y las empresas tienen herramientas para detectarlo. Estás eliminando esa carga pesada".

La confianza cero es clave para una insurgencia sin malware

El movimiento de los actores de amenazas desde el ransomware hacia la extracción de datos refleja un cambio en el equilibrio en el mundo de los hacktivistas, actores estatales y ciberdelincuentes: es más fácil obtener datos que lanzar ataques de malware porque muchas empresas ahora tienen sólidas defensas contra el malware en sus puntos finales y en otros puntos de su infraestructura, según Meyers, quien agregó que el robo de datos es un incentivo tan poderoso como el secuestro de sistemas bloqueados.

"Los delincuentes que extorsionan datos de hecho están cambiando el cálculo detrás del ransomware", dijo Meyers. "Los datos son lo más crítico para las organizaciones, lo que implica mirar de manera diferente a un mundo donde las personas están utilizando la información como arma, amenazando con filtrar datos para alterar una organización o un país".

Meyers dijo que la confianza cero es la forma de contrarrestar esta tendencia porque minimizar el acceso, lo que cambia el modelo de "confiar y verificar" de la seguridad de la infraestructura, dificulta el movimiento lateral de un atacante, ya que existen más puntos de control en los puntos de acceso más débiles: los empleados verificados que pueden ser engañados.

Crecimiento mundial de hacktivistas, actores estatales y ciberdelincuentes

CrowdStrike agregó a Siria, Turquía y Colombia a su lista existente de países anfitriones de actores maliciosos, según Meyers, quien dijo que las intrusiones interactivas en general aumentaron un 50% el año pasado. Esto sugiere que los adversarios humanos cada vez más intentan evadir la protección antivirus y las defensas basadas en máquinas.

Entre sus hallazgos, se encontraba que se aprovechaban ampliamente vulnerabilidades heredadas como Log4Shell, ProxyNotShell y Follina, solo dos de los 28 zero days de Microsoft y 1.200 parches, mientras los adversarios de la delincuencia y el cibercrimen rodeaban los parches y evitaban las mitigaciones.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Algunos de los puntos destacados fueron:

  • El espionaje de origen chino aumentó en todos los 39 sectores industriales y 20 regiones geográficas a nivel mundial.
  • Los actores de amenazas se están volviendo más rápidos; el tiempo promedio de propagación del cibercrimen es ahora de 84 minutos, frente a los 98 minutos en 2021. El equipo Falcon de CrowdStrike mide el tiempo de propagación como el tiempo que un adversario tarda en moverse lateralmente, desde un host inicialmente comprometido a otro host dentro del entorno de la víctima.
  • CrowdStrike notó un aumento en el "vishing" para dirigir a las víctimas a descargar malware y el "SIM swapping" para eludir la autenticación de múltiples factores.
  • CrowdStrike observó un aumento en los actores de origen ruso que emplearon tácticas de recopilación de inteligencia e incluso ransomware falso, lo que sugiere la intención del Kremlin de ampliar los sectores y regiones objetivo donde se consideran arriesgadas las operaciones destructivas.

Una galería de adversarios que incluye chacales, osos y otros

Con los nuevos actores de amenazas rastreados, CrowdStrike dijo que ahora está siguiendo a más de 200 actores. Más de 20 de las nuevas incorporaciones eran adversarios de ciberdelincuencia, incluidos actores de China y Rusia. Incluyen los actores que CrowdStrike ha denominado Buffalo (Vietnam), Crane (República de Corea), Kitten (Irán), Leopard (Pakistán) y el grupo Hacktivista Jackal, así como otros grupos de Turquía, India, Georgia, China y Corea del Norte.

CrowdStrike también informó que un actor, Gossamer Bear, llevó a cabo operaciones de phishing de credenciales en el primer año del conflicto entre Rusia y Ucrania, apuntando a laboratorios de investigación gubernamentales, proveedores militares, empresas de logística y organizaciones no gubernamentales.

La versatilidad es clave para los defensores y los ingenieros de la nube

Los atacantes están utilizando una variedad de tácticas, técnicas y procedimientos para infiltrarse en los entornos en la nube y moverse lateralmente. De hecho, CrowdStrike observó un aumento en el uso tanto de cuentas de nube válidas como de aplicaciones públicas para el acceso inicial a la nube. La empresa también informó sobre un mayor número de actores que apuntan al descubrimiento de cuentas en la nube en lugar de al descubrimiento de la infraestructura en la nube y el uso de cuentas de mayor privilegio.

Los ingenieros que trabajan en la infraestructura y las aplicaciones en la nube deben ser cada vez más versátiles, comprendiendo no solo la seguridad, sino también cómo administrar, planificar, diseñar y monitorear sistemas en la nube para una empresa o negocio.

Para obtener más información sobre las responsabilidades y conjuntos de habilidades de ingeniería en la nube, descargue el Kit de contratación de ingenieros en la nube en Newsmatic Premium.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Alerta en la nube: CrowdStrike revela ataques y robos de datos , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.