De acuerdo con el último reporte trimestral de ciberamenazas de Cisco Talos, la unidad de inteligencia en ciberseguridad de Cisco, la extorsión por robos de datos fue la principal amenaza durante el segundo trimestre del año, representando el 30 % de las amenazas, superando a web shell y aún mayor que el ransomware.
El reporte Cisco Talos Incident Response (Talos IR) también detectó un aumento del 25 % de los incidentes de extorsión por robo de datos comparado con el trimestre anterior.
El aumento de dichos eventos –en comparación con trimestres anteriores– es coherente con los informes públicos, sobre un número creciente de grupos de ransomware que roban datos y extorsionan a las víctimas sin cifrar archivos ni desplegar ransomware.
El ransomware fue la segunda amenaza más observada del trimestre, que correspondió el 17 % de los casos, un incremento ligero comparado con el 10 % del trimestre anterior mientras que los web shells disminuyeron, siendo fueron una amenaza en rápido aumento en el primer trimestre.
Principales amenazas
En un nuevo aumento en comparación con trimestres anteriores, Talos IR respondió a un creciente número de extorsión por robo de datos donde no encriptaron archivos ni implementaron ransomware.
En este tipo de ataque, los cibercriminales roban los datos de la víctima y amenazan con filtrarlo o venderlos, a menos que la víctima pague diferentes sumas de dinero eliminando la necesidad de implementar ransomware o cifrar datos.
Esto difiere del método ransomware de doble extorsión mediante el cual los cibercriminales exfiltran y cifran archivos y exigen el pago para que las víctimas reciban una clave de descrifrado.
Es probable que llevar a cabo este tipo de ataques sea cada vez más difícil debido a la aplicación de la ley global y los esfuerzos de la industria por lo que los actores de ransomware tienen que encontrar nuevas formas de generar ingresos.
En este trimestre continuó la tendencia en que la industria de cuidado de la salud fue la más atacada en el periodo, representando el 22 por cierto del número total de los compromisos de respuesta a incidentes, seguido de cerca por la de servicios financieros.
Una forma como los ciberdelincuentes lograron acceso durante el trimestre fue a través de credenciales comprometidas o cuentas válidas, sumando cerca del 40 por ciento del total de redes comprometidas.
Sin embargo, es difícil identificar cómo las credenciales fueron comprometidas dado que pueden ocurrir fuera de la visibilidad de la compañía como son credenciales guardadas en un dispositivo personal del empleado que estaba comprometido.
Estas cuentas no tenían habilitada la autenticación multifactor (MFA) o sólo la tenían en ciertas cuentas y servicios críticos, esto representa un aumento del 10% con respecto del trimestre pasado.
Las recomendaciones
Por tal motivo Talos IR recomienda que las organizaciones realicen una auditoría de contraseñas en todas las cuentas de usuario y servicio para garantizar que la complejidad y la fortaleza estén alineadas con las mejores prácticas de la industria (privilegio, servicio, usuario, etc.) para evitar técnicas de enumeración o pulverización de contraseñas.
Asimismo, recomienda deshabilitar los VCA (cuentas de proveedores y contratistas) cuando no sean necesarios, así como implementar el acceso con privilegios mínimos y validar que el registro y la supervisión de la seguridad estén habilitados para este tipo de cuentas.
Talos encontró que el grupo Clop, que inició como operación de ransomware-as-a-service (RaaS) explotó una vulnerabilidad importante en el software de transferencia de archivos MOVEit.
Ello ha llevado a muchos casos de seguimiento de robos de datos con más de 200 compañías afectadas a principios de julio.
Talos IR aún no ha respondido a ningún incidente relacionado con la vulnerabilidad de MOVEit, pero en un caso, Talos IR observó a Clop explotando una vulnerabilidad diferente en el software de transferencia de archivos GoAnywhere.
Talos IR también registró, en más de 50 % de los eventos del trimestre, PowerShell, una utilidad de línea de comandos dinámica que sigue siendo una utilidad popular elegida por los cibercriminales probablemente por una serie de razones, incluyendo sigilo, conveniencia y vastas capacidades de administración de TI.
Además, la compañía encontró la explotación de vulnerabilidades en aplicaciones disponibles al público en general (public facing applications).
Ésta se observó en 22 % de las interacciones durante el trimestre, lo cual representa una disminución significativa del 45% en comparación con el trimestre pasado.
Los cibercriminales buscan nuevas formas de vulnerar las redes y no cabe duda que las organizaciones requieren un sistema de doble autenticación (MFA) como una de las medidas de seguridad a considerar en sus redes.
Asimismo, las soluciones de detección y respuesta en Endpoint pueden detectar actividad maliciosa en las redes de las organizaciones y sus equipos.