El estudio Cisco Talos Incident Response (CTIR) reveló el surgimiento de una amplia variedad de malware donde ninguna familia de ransomware se utilizó en más de un incidente, esto es un claro indicativo de la diversificación del panorama de riesgos en ciberseguridad, dicho comportamiento se empezó a evidenciar desde el año pasado. Se estima que esta tendencia se mantendrá al menos durante este 2022 y el principal objetivo será la vertical de telecomunicaciones.
Datos relevantes de CTIR
- Ransomware fue la principal amenaza del primer trimestre de 2022 pero solo representó 25% de todas las amenazas observadas frente al 27% del trimestre previo
- El sector de telecomunicaciones fue el objetivo de los ataques, rompiendo una racha de varios trimestres en los que los atacantes se dirigían a la industria del cuidado de la salud
- Este trimestre aparecieron las familias de ransomware: Cerber (CerberImposter), Entropy y Cuba, los atacantes aprovecharon frecuentemente la vulnerabilidad Log4j
- Wave Browser, un falso navegador web, se usó en varios casos, es un programa no deseado (PUP) asociado con adware, el secuestro de navegadores se vinculó con estas actividades
Por su parte, la banda de ransomware as a service (RaaS) de Conti experimentó múltiples oleadas de filtraciones en el último trimestre, revelando código fuente del malware y otras piezas clave de información sobre este grupo. Las filtraciones pueden dificultar la atribución del actor de la amenaza en los casos que implican las típicas tácticas, técnicas y procedimientos (TTP). En el primer trimestre de 2022 se produjo un aumento de amenazas avanzadas persistentes (APT).
Estas APT corresponden a ataques del grupo MuddyWater, patrocinado por el Estado iraní, y el actor Mustang Panda, con sede en China, que desplegó el troyano de acceso remoto PlugX. Finalmente los adversarios usaron la vulnerabilidad de Log4j para atacar los servidores VMware Horizon, así los atacantes aprovecharon para instalar mineros de criptomonedas. Si bien, la vulnerabilidad antes mencionada ha estado durante varios meses, CTIR considera que seguirá siendo un vector de riesgo.