¡Mandiant cosecha frutos en la lucha contra el malware!

Los grupos de amenazas están en aumento y la unidad de ciberdefensa de Google Cloud, Mandiant, está rastreando a 3.500 de ellos, con 900 agregados el año pasado, incluidos 265 identificados por primera vez durante las investigaciones de Mandiant en 2022.

El informe M-Trends 2023 de Mandiant sobre el panorama de la ciberseguridad mundial encontró que las organizaciones enfrentaron intrusiones de grupos avanzados, incluidas entidades patrocinadas por el gobierno de China y Rusia, grupos de amenazas con motivación financiera y 335 grupos de amenazas no clasificados.

La mayor proporción de grupos, casi la mitad de los seguidos por Mandiant, buscaba obtener ganancias financieras, según el informe.

Índice de Contenido
  1. La "estancia prolongada" disminuye en todo el mundo
  2. Aumento de las notificaciones externas de incidentes
  3. Disminución de los ataques de ransomware
  4. BEACON prevalece entre las cepas de malware
  5. Explotación de software como principal vector de ataque
  6. La mala higiene digital alimenta el robo de credenciales
  7. El phishing es el segundo vector de ataque más común
  8. Microsoft es el más atacado
  9. Los nuevos ciberdelincuentes utilizan métodos comunes con gran efecto

La "estancia prolongada" disminuye en todo el mundo

¡Mandiant cosecha frutos en la lucha contra el malware! - Seguridad | Imagen 1 Newsmatic

La "estancia prolongada", es decir, el número de días que un adversario acecha en una red objetivo antes de ser detectado, disminuyó el año pasado. Según el informe M-Trends, el tiempo medio de "estancia prolongada" a nivel mundial fue de 16 días, el más corto de todos los períodos de informe desde hace 14 años, y menor que los 21 días en 2021.

Aumento de las notificaciones externas de incidentes

La firma observó un aumento en los esfuerzos de notificación proactiva por parte de los socios de seguridad. Según el informe, en el 55% de los incidentes, las organizaciones en las Américas fueron notificadas por una entidad externa, en comparación con el 40% en 2021, el porcentaje más alto de notificaciones externas en las Américas en los últimos seis años.

Las organizaciones en Europa, Oriente Medio y África (EMEA) fueron alertadas de una intrusión por una entidad externa en el 74% de las investigaciones en 2022, en comparación con el 62% en 2021. En la región de Asia Pacífico, las organizaciones fueron alertadas por socios externos en el 33% de las investigaciones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Disminución de los ataques de ransomware

El informe confirma investigaciones anteriores de Newsmatic que señalan una disminución en los ataques de ransomware: en 2022, el 18% de las investigaciones globales de Mandiant involucraron ransomware, en comparación con el 23% en 2021. Esto representa el porcentaje más bajo de investigaciones de Mandiant relacionadas con ransomware antes de 2020, según la compañía.

"Si bien no tenemos datos que sugieran que hay una sola causa para la ligera disminución de los ataques relacionados con ransomware que observamos, ha habido varios cambios en el entorno operativo que probablemente hayan contribuido a estas cifras más bajas", dijo Sandra Joyce, VP de Mandiant Intelligence en Google Cloud, en un comunicado.

Agregó que la interrupción de los ataques de ransomware por parte del gobierno y las fuerzas del orden obligó a los actores a reorganizarse o establecer nuevas alianzas.

BEACON prevalece entre las cepas de malware

La familia de malware más común identificada por Mandiant en las investigaciones del año pasado fue BEACON, identificada en el 15% de todas las intrusiones investigadas por Mandiant. Se encontró que este malware ha sido utilizado por grupos alineados con China, Rusia e Irán, grupos de amenazas financieras y más de 700 UNCs (Coaliciones No Caracterizadas). Otros incluyeron SystemBC, Metasploit, Hivelocker, Qakbot, Alphv, LockBit y Basta (Figura A).

Figura A

¡Mandiant cosecha frutos en la lucha contra el malware! - Seguridad | Imagen 2 Newsmatic

Cómo proteger tu computadora de los virus: métodos y consejos

El informe señaló que de las 588 nuevas familias de malware rastreadas por Mandiant el año pasado:

  • El 34% eran puertas traseras.
  • El 14% eran descargadores.
  • El 11% eran droppers.
  • El 7% eran ransomware.
  • El 5% eran lanzadores (Figura B).

Figura B

¡Mandiant cosecha frutos en la lucha contra el malware! - Seguridad | Imagen 3 Newsmatic

"Mandiant ha investigado varias intrusiones llevadas a cabo por nuevos adversarios que están volviéndose cada vez más astutos y efectivos", dijo Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, agregando que los actores utilizan datos de los mercados subterráneos de delitos cibernéticos para llevar a cabo campañas de ingeniería social dirigidas a moverse lateralmente en las redes corporativas.

Explotación de software como principal vector de ataque

Según el informe de Mandiant, por tercer año consecutivo, las vulnerabilidades de software, como la inyección SQL o el scripting entre sitios, fueron el vector de ataque más común, utilizado por el 32% de los atacantes, lo que representa una disminución con respecto al 37% de intrusiones de este tipo en 2021. El phishing se encuentra en segundo lugar, representando el 22% de las intrusiones, en comparación con el 12% en 2021.

Mandiant informó que en sus investigaciones encontró pruebas de que en los ataques que involucraban al menos una explotación de una vulnerabilidad, tuvieron éxito en el 36% de las investigaciones en 2022, en comparación con el 30% en 2021. También informa que los dispositivos perimetrales expuestos en Internet, como firewalls, soluciones de virtualización y dispositivos de red privada virtual (VPN), son objetivos deseados por los atacantes.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Las vulnerabilidades destacadas fueron Log4j1, que representó el 16% de las investigaciones, y las siguientes más destacadas estaban relacionadas con F5 Big-IP2 y VMware Workspace ONE Access e Identity Manager.

La mala higiene digital alimenta el robo de credenciales

Mandiant también informó de un aumento en el robo y la compra de credenciales el año pasado, con un aumento en los incidentes en los que las credenciales fueron robadas fuera del entorno de la organización y luego utilizadas contra la organización, posiblemente debido al uso de contraseñas reutilizadas o cuentas personales en dispositivos corporativos.

Los actores de amenazas utilizaron credenciales robadas en el 14% de los ataques el año pasado, en comparación con el 9% en 2021, en investigaciones en las que se identificó el vector de infección inicial.

La firma también informó que el 40% de las intrusiones en 2022 involucraron la extracción de datos, lo cual es un aumento del uso de esta técnica en los últimos años.

Las investigaciones de Mandiant revelaron un aumento en la prevalencia del malware de robo de información generalizada y la compra de credenciales en 2022 en comparación con años anteriores. En muchos casos, las investigaciones identificaron que las credenciales probablemente fueron robadas fuera del entorno de la organización y luego utilizadas contra la organización, posiblemente debido al uso de contraseñas reutilizadas o cuentas personales en dispositivos corporativos (Figura C).

Figura C

Protege tus contraseñas con PAM: Tu aliado para la seguridad

¡Mandiant cosecha frutos en la lucha contra el malware! - Seguridad | Imagen 4 Newsmatic

El phishing es el segundo vector de ataque más común

El phishing representó el 22% de las intrusiones en las que se identificó el vector de infección inicial el año pasado, lo que lo convierte en el segundo vector más utilizado y un aumento con respecto al 12% de las intrusiones en 2021.

Microsoft es el más atacado

El malware de Windows fue, con mucho, el más comúnmente rastreado y observado, con el 92% de las familias de malware recién identificadas y el 93% del malware observado capaz de ejecutarse en Windows, según el informe. Otros hallazgos son los siguientes:

  • Las familias de malware efectivas en uno o más sistemas operativos fueron más prevalentes que el malware diseñado para enfocarse en un único sistema operativo.
  • El malware efectivo en un solo sistema operativo tenía más probabilidades de dirigirse al sistema operativo Windows.
  • El malware efectivo en Linux disminuyó del 18% en 2021 al 15%.
  • Se informó por primera vez sobre un malware diseñado para explotar el sistema operativo VMkernel de VMware.

Respecto al último punto, Mandiant señaló que, aunque el volumen es pequeño, los defensores deben prestar atención porque VMware se utiliza ampliamente.

"Estos tipos de sistemas operativos no tienen una capacidad significativa para la supervisión de herramientas de detección y respuesta en el punto final. Como resultado, la supervisión e investigaciones en la plataforma pueden ser desafiantes para los defensores", señaló el informe.

Los nuevos ciberdelincuentes utilizan métodos comunes con gran efecto

Entre los grupos que apuntaban a grandes corporaciones con ataques de alto perfil se encontraban Lapsus, que Mandiant rastrea como UNC3661, y otro grupo etiquetado como UNC3944. Ambos grupos no caracterizados (UNCs) son destacables porque, aunque carecen de la sofisticación de los actores alineados con naciones, fueron muy efectivos.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

"Estos incidentes ponen de manifiesto la amenaza que representan los adversarios persistentes dispuestos a ignorar las reglas tácitas de compromiso", dijo Mandiant, que señaló que los actores utilizaban datos obtenidos en mercados subterráneos de delitos cibernéticos, esquemas de ingeniería social ingeniosos e incluso sobornos. Además, no tenían reparo en intimidar y amenazar a sus objetivos, según la firma.

UNC3661 comenzó con objetivos en América del Sur y luego se volvió global, aparentemente con el objetivo de dañar reputaciones al robar código fuente y propiedad intelectual.

La firma dijo: "Sus acciones durante las intrusiones mostraban un deseo de notoriedad en lugar de estar optimizadas para aumentar las ganancias". Además, el grupo, después de exigir propiedad intelectual como código fuente, realizaba encuestas en chats de Telegram para determinar qué organización sería su próximo objetivo.

Mandiant informó que, a diferencia de Lapsus, UNC3944, que apareció por primera vez en mayo, es un grupo de amenazas financieras motivado económicamente que obtiene acceso utilizando credenciales robadas obtenidas a través de operaciones de phishing por SMS.

Merece mencionar que ninguno de estos grupos utiliza vulnerabilidades de día cero, malware personalizado o nuevas herramientas. "Es importante que las organizaciones comprendan las posibles ramificaciones de esta nueva amenaza más abierta y ajusten tanto las protecciones como las expectativas en consecuencia", concluyó el informe.

¡Alerta! Un nuevo gusano de Linux está propagándose

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ¡Mandiant cosecha frutos en la lucha contra el malware! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.