Mon. Oct 3rd, 2022

Las tensiones geopolíticas y la guerra más grande en Europa durante décadas han definido el panorama del malware en 2022. Recorded Future ha estado recopilando información sobre amenazas globales de Internet, la web oscura y fuentes técnicas durante más de una década. La empresa combina esta gran cantidad de datos con inteligencia artificial y experiencia humana para detectar amenazas de manera temprana y brindar información procesable a los profesionales de la seguridad. Toby Wilmington, Gerente de Ingeniería de Ventas en Recorded Future, brindó su análisis del panorama del malware durante la primera mitad de 2022 durante una sesión en Cyber ​​Security & Cloud Expo Europe de este año. “Estamos empezando a ver que el mundo se convierte en un reflejo de Internet”, dice Wilmington. “Entonces, las operaciones de influencia, las cosas que suceden en línea, están comenzando a tener un impacto geopolítico o cinético: las bombas se lanzan, por ejemplo”. Recorded Future obtiene sus datos de informes de proveedores de seguridad, plataformas de comunicación como Telegram y Discord, redes sociales y más. Con sus capacidades de recolección de la web oscura, la compañía puede ver de qué están hablando los actores de amenazas para que puedan ayudar a los buenos a mantenerse a la vanguardia. Dicha información podría incluir qué malware se vende, qué rescates se solicitan y qué herramientas de prueba de penetración se utilizan. Además, Recorded Future está incorporando datos de análisis de tráfico de red para ver quién se ve afectado por los ataques cibernéticos, qué tecnologías están siendo atacadas, qué infraestructura se está utilizando y a quién se le puede atribuir. Todos estos datos se recopilan en tiempo real para proporcionar una imagen mucho más completa del panorama del malware de lo que era posible tradicionalmente. Como resultado, la ciberseguridad puede volverse mucho más proactiva que reactiva.

Variantes de limpiaparabrisas

Después de la invasión rusa de Ucrania, comenzaron a circular nueve variantes distintas del malware Wiper que fueron diseñadas para interrumpir las operaciones del país defensor. Según Wilmington, las variantes de malware se volvieron cada vez más simplistas con el tiempo, lo que “parecía mostrar que el gobierno hostil disfrutaba de menos tiempo y menos recursos para desarrollar malware contra objetivos geopolíticos clave”. Wilmington presenta una línea de tiempo de las variantes de limpiaparabrisas utilizadas en torno a los conflictos:

“Estamos viendo estados nacionales que desean aislar países específicos y reducir las operaciones”, agrega Wilmington.

Secuestro de datos

El ransomware también continúa afectando a los equipos de seguridad globales. Conti es una de las formas más infames de ransomware debido a la velocidad con la que cifra los datos y se propaga a otros sistemas. En mayo de 2021, el ataque del ransomware Conti al servicio de salud de Irlanda provocó semanas de interrupción con un costo proyectado de $100 millones. Cuando Rusia invadió Ucrania, Conti Group anunció su apoyo a Rusia. Sin embargo, una persona anónima filtró aproximadamente 60.000 mensajes de registros de chat internos que indicaron su apoyo a Ucrania, junto con el código fuente y otros archivos utilizados por el grupo. En abril de este año, el ransomware Conti se usó contra el gobierno de Costa Rica en una intrusión de cinco días. El 8 de mayo, Costa Rica se vio obligada a declarar una emergencia nacional ya que la intrusión se había extendido a múltiples organismos gubernamentales. Wilmington afirma que el ataque Conti en Costa Rica fue habilitado “como parte de una disolución que permitió a los miembros individuales apoyar a otras bandas de ransomware”. A pesar de que Conti aparece en los titulares, Wilmington dice que los operadores más prolíficos son los que están detrás de las familias de ransomware Lockbit 3.0 y Hive. Recorded Future identificó que el grupo de ransomware FIN7 creó una empresa de ciberseguridad falsa llamada Bastion Secure para reclutar especialistas en TI e implementar herramientas de explotación de PoS. Si bien también se cree que el grupo es ruso, Wilmington señala que Corea del Norte suele emplear esa táctica.

Ladrones de información

Un tipo de malware común que Recorded Future ha visto un “aumento real” en el uso en los últimos años son los ladrones de información. Esta información robada luego se vende en la dark web. Wilmington destaca que los ladrones de información toman una huella digital de su navegador y luego se tomará cualquier cosa que se haga en esa ventana, y las personas pueden comprar eso en línea. “Puedo decir: ‘Si compro esta credencial por $20, ¿a qué me da acceso? ¿Y viene con una cookie de sesión también para que pueda saltar?’”, explica Wilmington. Según Wilmington, Raccoon Stealer fue uno de los ladrones de información más populares este año. Sin embargo, “hizo una pausa” en marzo de 2022. Los actores de amenazas luego cambiaron de Raccoon a Mars Stealer, MetaStealer, BlackGuard, RedLine y Vidar. A fines del primer semestre de 2022, Raccoon Stealer 2.0 surgió y volvió a ganar popularidad. Wilmington continúa mostrando un gráfico del malware de mayor referencia utilizado en ataques cibernéticos durante el primer semestre de 2022. Cobalt Strike toma la delantera por un amplio margen:

vulnerabilidades

En cuanto a las vulnerabilidades, como era de esperar, Log4Shell, que probablemente todavía está causando muchas noches de insomnio, fue, con mucho, la vulnerabilidad más mencionada en el primer semestre de 2022:

La vulnerabilidad de Microsoft Follina ocupó el segundo lugar, seguida de ProxyShell para completar las tres principales vulnerabilidades a las que se hace referencia. Vale la pena señalar que ProxyShell ha sido utilizado por los afiliados de Conti para piratear los servidores de Microsoft Exchange y comprometer las redes corporativas. Recorded Future aplica puntajes de riesgo a las vulnerabilidades en función de si se están explotando activamente en la naturaleza, ya sea en función de informes de código abierto o del señuelo interno de la empresa. Wilmington señala que Windows suele ser el proveedor más afectado pero, en el primer semestre de 2022, la lista ha estado dominada en gran medida por las vulnerabilidades que afectan a Linux:

“Por lo general, vemos a Microsoft en la cima en términos de vulnerabilidades”, explica Wilmington. “Es bastante interesante que Linux haya sido el enfoque principal a principios de este año”. Recorded Future normalmente ve alrededor de 2 a 4 semanas desde que se descubre una vulnerabilidad hasta que se arma. El uso de inteligencia temprana como la que proporciona Recorded Future puede brindarle a la industria una ventana bastante importante para contrarrestar las amenazas emergentes antes de que causen daños. Toby Wilmington habló en Cyber ​​Security & Cloud Expo Europe de este año. Puede encontrar más información sobre la serie global aquí.

¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber ​​Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: ataque de cobalto, conti, ciberseguridad, seguridad cibernética y exposición en la nube, seguridad cibernética, fin7, follina, infosec, infostealer, log4shell, malware, proxyshell, ladrón de mapaches, futuro grabado, toby wilmington, vulnerabilidades, limpiaparabrisas