Alerta empresarial: ¡Trellix descubre el blanco principal de ataques ransomware en servicios corporativos!

Según el Informe de Amenazas Trimestral de Verano 2022 de la firma de ciberseguridad Trellix, publicado hoy, la línea entre los grupos de ransomware y los estados-nación continuó difuminándose entre el cuarto trimestre de 2021 y el primer trimestre de 2022. En particular, el grupo cibernético Conti podría estar seleccionando objetivos en base a una lista de deseos del Kremlin.

Conti, que expresó públicamente su lealtad a Rusia en febrero, "parece confirmar que el gobierno está dirigiendo empresas delictivas cibernéticas", según el informe.

Rusia registró un aumento del 490% en los incidentes reportados durante el mismo período.

"Con la creciente actividad cibernética de Rusia dirigida a Ucrania y otros países durante la guerra, el aumento de los incidentes dirigidos a Rusia es probablemente impulsado por contraataques", dijo Christiaan Beek, científico principal y líder en ingeniería en Trellix.

Con un 35%, Estados Unidos reportó la mayoría de los incidentes en general. Cabe destacar la falta de nuevas herramientas de malware desplegadas desde el inicio de la invasión y guerra en Ucrania. Si bien esto puede parecer una buena noticia, puede ser solo cuestión de tiempo antes de que esto cambie.

"Los adversarios saben que están siendo vigilados de cerca; la ausencia de nuevas tácticas observadas en la naturaleza durante la guerra en Ucrania nos indica que se están reteniendo herramientas", dijo Beek en un comunicado de prensa. "Los actores de amenazas globales tienen un nuevo arsenal cibernético listo para desplegar en caso de escalación, y las organizaciones deben permanecer vigilantes".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Como nota positiva, el informe encontró que cada vez menos organizaciones tienen que pagar los rescates completos exigidos por los atacantes.

Índice de Contenido
  1. Industrias más afectadas por los ataques de ransomware
    1. Principales consultas y familias de ransomware utilizadas
  2. Aumento de la amenaza a la infraestructura crítica
  3. Tendencias de seguridad en el correo electrónico
  4. Naciones bajo amenaza
  5. Acerca del informe

Industrias más afectadas por los ataques de ransomware

Los proveedores de servicios empresariales (64%) y las empresas de telecomunicaciones (53%) fueron las industrias más afectadas por los ataques de ransomware.

"El sector de las telecomunicaciones a menudo obtiene altas puntuaciones en nuestros datos", dijo Beek. "Esto no necesariamente significa que este sector sea altamente objetivo".

Esto se debe a que las telecomunicaciones contienen proveedores de servicios de Internet (ISP) que poseen espacios de direcciones IP. Las detecciones desde el espacio de direcciones IP del ISP se muestran como detecciones de telecomunicaciones, pero la detección podría ser de uno de los clientes del ISP en una industria completamente diferente.

La atención de la salud sigue siendo una industria bajo amenaza; aunque el informe señaló que los atacantes no están yendo tras dispositivos médicos como bombas de infusión "... pero esto no significa que podamos relajarnos".

Principales consultas y familias de ransomware utilizadas

Cobalt Strike se utilizó en el 32% de las 10 principales consultas de ransomware en Estados Unidos en el primer trimestre de 2022. Las siguientes herramientas más prevalentes fueron RCLONE (12%), BloodHound (10%) y Bazar Loader (10%).

Cómo proteger tu computadora de los virus: métodos y consejos

Lockbit fue la familia de ransomware más prevalente; se utilizó en el 26% de las 10 principales consultas en Estados Unidos en el primer trimestre de 2022, por delante de Conti (13%), BlackCat (11%) y Ryuk (10%), según el informe.

En general, las detecciones de familias de ransomware disminuyeron considerablemente entre el cuarto trimestre de 2021 y el primer trimestre de 2022. Lockbit disminuyó un 44%, Conti un 37% y Cuba un 55%.

Aumento de la amenaza a la infraestructura crítica

Debido a que los sistemas de control industrial y los sistemas de acceso a edificios son antiguos y no se actualizan con frecuencia ni fácilmente, son cada vez más frecuentes como objetivos. HID Mercury, un panel de control ubicuo utilizado en toda la industria en soluciones de control de acceso, es particularmente vulnerable.

Trellix descubrió cuatro vulnerabilidades zero-day y cuatro vulnerabilidades previamente parcheadas que nunca se publicaron como vulnerabilidades y exposiciones comunes. Si se produjera una violación, los hackers podrían ejecutar código, reiniciar sistemas y realizar tareas como bloquear y desbloquear puertas de forma remota sin ser detectados a través del software de gestión.

"Según un estudio realizado por IBM en 2021, el costo promedio de una violación de seguridad física es de $3.54M y se tarda un promedio de 223 días en detectar una violación", dijo el informe de Trellix. "Los riesgos son altos para las organizaciones que dependen de los sistemas de control de acceso para garantizar la seguridad y la integridad de las instalaciones".

Tendencias de seguridad en el correo electrónico

La mayoría de los correos electrónicos maliciosos contienen una URL de phishing utilizada para redirigir a los usuarios a una página web que roba credenciales o para engañar a las víctimas a descargar malware, según el informe. Los correos electrónicos con archivos adjuntos maliciosos, como documentos y ejecutables como infostealers y troyanos, también eran comunes.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Las familias de malware más comunes desplegadas en el primer trimestre de 2022 fueron Phorpiex, Electron Bot, RedLine Stealer, Agent Tesla y Remcos RAT.

Naciones bajo amenaza

En los países donde Trellix tiene clientes, el 31% de la actividad de los estados-nación en el primer trimestre de 2022 se dirigió a Turquía, seguido de Israel con el 18%, el Reino Unido con el 11%, México con el 10% y Estados Unidos con el 8%.

El actor de estado-nación más activo en el trimestre fue APT36, un actor de amenazas persistentes avanzado respaldado probablemente por el gobierno pakistaní y que se centra principalmente en organizaciones de defensa en India. Esto es seguido por APT27 de China y APT28 y APT29 de Rusia, dijo Beek.

"Las organizaciones deben estar atentas a la generalización de los ciberataques para protegerse contra las últimas amenazas en tiempo real", dijo Beek. "Instamos encarecidamente a todas las organizaciones a tomar nota de las tácticas, técnicas y procedimientos de ransomware, especialmente si ya han determinado que es probable que los grupos respaldados por el estado los ataquen".

Acerca del informe

El informe de amenazas utiliza datos propietarios de la red de más de mil millones de sensores de Trellix, inteligencia de código abierto e investigaciones de Trellix Threat Labs sobre amenazas prevalentes como ransomware y actividad de estados-nación. Una detección se produce cuando se detecta y notifica un archivo, URL, dirección IP, correo electrónico sospechoso, comportamiento de red u otro indicador a través del ecosistema Trellix XDR.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Alerta empresarial: ¡Trellix descubre el blanco principal de ataques ransomware en servicios corporativos! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.