Boletín de seguridad de Kaspersky

Amenazas a las empresas en 2023: chantaje mediático, filtraciones falsas y ataques mediante la nube

Kaspersky detecta un promedio de 400 000 archivos maliciosos al día. Esto resulta en 144 millones al año. El panorama de las amenazas evoluciona constantemente, sumando nuevos programas maliciosos, programas espía, técnicas avanzadas de phishing y nuevas técnicas de ingeniería social. De vez en cuando, los medios de comunicación informan de incidentes y filtraciones de datos que se ponen a la venta en la darknet. Los ataques de hackers afectan constantemente a personas, empresas y países enteros, y no se trata solo de pérdidas económicas: en algunos casos, los ciberataques pueden poner en peligro la vida, si tienen como blanco las infraestructuras críticas.

La ciberseguridad corporativa y gubernamental ha adquirido primordial importancia en 2022, y la seguirá teniendo en 2023. En el marco de Kaspersky Security Bulletin, los equipos DFI (Digital Footprint Intelligence) y DFIR (Digital Forensics and Incident Response) han preparado un resumen de las amenazas relevantes para este segmento.

Más filtraciones de datos personales y más correos electrónicos corporativos en peligro

En 2022, la tendencia de las filtraciones de datos personales se desarrolló con gran rapidez, y lo seguirá haciendo en 2023. El año pasado se produjeron varios casos de gran repercusión, como los de Medibank, Uber y WhatsApp. Las filtraciones afectaron a diversas organizaciones y cantidades de datos. Por ejemplo, el pasado mes de septiembre, un atacante puso a la venta una base de datos que contenía 105 millones de registros con información sobre ciudadanos indonesios. Los datos comprometidos incluían el nombre completo, el lugar y la fecha de nacimiento, el sexo y el número de identificación nacional. El autor valoró los datos, al parecer extraídos de la Comisión Electoral General de Indonesia, en 5000 dólares y los puso a la venta en la Dark Web.

La publicación de darknet que ofrece la venta de datos en Indonesia

Un post en la Dark Web que pone en venta datos indonesios y fue encontrado con la ayuda de Digital Footprint Intelligence

En Kaspersky somos testigos de que los usuarios suelen usar su dirección de correo electrónico corporativa para registrarse en sitios y servicios de terceros, que pueden ser hackeados y expuestos a fugas de datos. Por lo tanto, la seguridad de la empresa propietaria de este correo se pone en riesgo. La superficie de ataque en su infraestructura va aumentando junto con la cantidad de objetos potencialmente vulnerables. Cuando los datos confidenciales se hacen públicos, pueden despertar el interés de los ciberdelincuentes y dar lugar a discusiones sobre los ataques a la organización en los recursos de la darknet (foros, canales de mensajería instantánea, recursos de Onion, etc.). Además, aumenta la probabilidad de que estos datos se usen para phishing e ingeniería social.

Chantajes en los medios de comunicación: las empresas se enterarán de los hackeos porque los hackers publicarán mensajes con una cuenta regresiva para la divulgación de los datos capturados

Los creadores de ransomware crean blogs en los que publican anuncios sobre empresas hackeadas, así como los datos robados. En 2022 aumentó el número de publicaciones en este tipo de blogs, tanto en sitios de acceso libre como de la darknet. Mientras que en los 10 primeros meses de 2021 vimos alrededor de 200-300 publicaciones al mes, a finales de 2021 y la primera mitad de 2022 este número alcanzó un máximo de más de 600 publicaciones al mes[1].

Dinámica de las publicaciones en los blogs de los extorsionistas, 2021-2022 (descargar)

Antes, tras un hackeo, los extorsionadores buscaban negociar con las empresas afectadas en privado, sin atraer la atención pública. Los atacantes intentaban permanecer invisibles para el público hasta recibir el rescate, y las víctimas del hackeo querían evitar los daños a la reputación y otras consecuencias del ataque. Pero ahora, en lugar de intentar ponerse en contacto con la empresa, los ciberdelincuentes publican en su blog la noticia de que la han hackeado, junto con una cuenta regresiva para la divulgación de los datos “filtrados”, y esperan la reacción de la víctima. Esto también ayuda a los delincuentes a salirse con la suya, sin importar si la víctima paga o no el rescate. Además, los datos suelen venderse en una subasta, durante la cual su valor puede aumentar drásticamente y superar el importe de la recompensa.

Anuncio sobre el hackeo de una compañía de seguros australiana, Medibank, encontrado mediante el servicio Digital Footprint Intelligence.

Anuncio sobre el hackeo de una compañía de seguros australiana, Medibank, encontrado mediante el servicio Digital Footprint Intelligence

En 2023, prevemos que los delincuentes harán menos intentos de ponerse en contacto con representantes de la empresa afectada, y que aumentará el número de publicaciones en blogs y de menciones del nombre de las víctimas en las noticias.

Un ejemplo de cuenta regresiva para la publicación de datos filtrados en el criptoblog LockBit

Un ejemplo de cuenta regresiva para la publicación de datos filtrados en el criptoblog LockBit

“Un minuto de diversión”: los ciberdelincuentes publicarán más noticias falsas sobre hackeos

Hoy en día, la información sobre nuevas filtraciones aparece casi a diario. Al mismo tiempo, aumenta el número de mensajes falsos. Creemos que, en 2023, los atacantes afirmarán con más frecuencia que han hackeado una empresa en particular para presumir y hacerse una reputación. La información filtrada publicada en fuentes abiertas se convierte en una herramienta de manipulación mediática e, incluso sin un hackeo real, puede causar daño a la empresa atacada. Es importante identificar estos informes a tiempo e iniciar un proceso de respuesta, similar a la respuesta a los incidentes de seguridad. Este proceso consiste en vigilar los recursos de la darknet y los sitios web sospechosos en busca de la publicación de información sobre la filtración o el compromiso de una empresa.

La tecnología de nube y los datos comprometidos de la darknet serán vectores populares

A los principales vectores de ataque (vulnerabilidades en aplicaciones públicas, credenciales comprometidas y correos electrónicos con enlaces y archivos adjuntos maliciosos) se sumarán acciones y herramientas relacionadas con las tecnologías virtuales y de nube. Cada vez más empresas están trasladando sus sistemas de información a la nube, y a menudo recurren a empresas externas para hacerlo. Pero prestan poca atención a la seguridad de la información en el momento de la migración a la nube: a menudo, las organizaciones ni siquiera asignan esta tarea a su proveedor de servicios de virtualización. Y si se produce un incidente, no cuentan con datos suficientes para investigarlo porque el proveedor de la nube no recopila ni registra información sobre los sucesos ocurridos en el sistema. Y esto dificulta la investigación del incidente.

En 2023, los ciberdelincuentes recurrirán cada vez más a los recursos de la darknet para comprar acceso a redes ya comprometidas de diferentes organizaciones. En nuestras investigaciones, observamos una tendencia clara: cada vez se lanzan más ataques utilizando cuentas previamente comprometidas publicadas en recursos clandestinos. Esta tendencia es peligrosa porque la etapa de comprometer las credenciales del usuario puede pasar desapercibida. La empresa víctima se da cuenta del ataque solo después de sufrir daños tangibles (por ejemplo, al experimentar una interrupción del servicio o si los extorsionadores cifran sus datos).

La digitalización aumenta los riesgos a la ciberseguridad. Para conseguir la fidelidad de clientes y socios, las empresas deben garantizar la continuidad del negocio e implantar una sólida protección de los activos críticos, los datos corporativos y toda la infraestructura informática para defenderse contra las crecientes amenazas. A menudo, en las grandes empresas y organismos públicos, esta protección consta de varias capas, pero ni siquiera esto elimina el riesgo de compromiso. Por lo tanto, es muy importante responder e investigar el incidente a tiempo y de forma adecuada para abordar no solo las consecuencias, sino también la causa, para evitar que vuelvan a producirse incidentes similares en el futuro.

Ransomware como servicio: más ataques de un solo tipo, herramientas más sofisticadas

El modelo Malware-as-a-Service seguirá ganando impulso en el próximo año, especialmente entre los extorsionadores. Los ciberdelincuentes intentan optimizar sus costos laborales, por lo que están ampliando activamente sus operaciones y recurriendo a la subcontratación, al igual que cualquier empresa legítima. Por ejemplo, el grupo LockBit (sobre cuya evolución puede leer aquí) está desarrollando servicios de forma similar a los productores de software. Hace poco, los atacantes incluso dieron a conocer su propio programa de recompensas por encontrar fallas en sus programas, llamado Bug Bounty. El uso de MaaS reduce el umbral de entrada en las filas de los ciberdelincuentes: cualquiera puede montar un ciberataque utilizando software de cifrado tomando prestado el malware pertinente.

A su vez, el número de familias de cifradores conocidos y difundidos disminuirá y los ataques serán cada vez menos variados. Por un lado, esto es una buena noticia para las empresas: muchos cifradores utilizarán técnicas y tácticas MaaS similares, por lo que habrá que analizar menos tácticas y técnicas para organizar las respuestas del SOC. Al mismo tiempo, el arsenal de instrumentos de los atacantes será cada vez más sofisticado, y las soluciones automatizadas por sí solas no bastarán para crear una defensa completa.

El año que viene será difícil desde el punto de vista de la ciberseguridad, porque el panorama de las amenazas evoluciona a gran velocidad. Esto marca un cierto ritmo a las empresas, que se ven obligadas a adaptarse. La buena noticia es que los investigadores disponen de instrumentos avanzados para contener las crecientes amenazas.

Estas son nuestras predicciones para 2023. Dentro de un año veremos cuáles se cumplieron y cuáles no.


[1] Las estadísticas contienen datos sobre los recursos incluidos en el sistema de monitoreo Digital Footprint Intelligence

Amenazas a las empresas en 2023: chantaje mediático, filtraciones falsas y ataques mediante la nube

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada