Incidentes de ciberseguridad del último trimestre de 2023
Por Juan Marino, Líder de Ciberseguridad de Cisco para América Latina.
El ransomware, incluida la actividad previa al ransomware, fue la principal amenaza observada en el cuarto trimestre de 2023, representando el 28% de todas las actividades de respuesta a incidentes de Cisco Talos. Eso representa un aumento del 17% con respecto al trimestre previo. Cisco Talos Incident Response (Talos IR) observó múltiples operadores de ransomware en el último cuarto, que involucra a Play, Cactus, BlackSuit y NoEscape. En un caso, Talos IR respondió a un ataque de ransomware Play por primera vez en la historia. Otras amenazas sustanciales de este trimestre incluyeron un ataque de amenazas internas y campañas de phishing, incluido un clúster de phishing que utiliza códigos QR maliciosos.
Principales amenazas
- Las amenazas principales de este trimestre incluyeron un ataque de amenazas internas y campañas de phishing.
- Talos IR respondió a múltiples incidentes con una actividad diversa posterior al compromiso, aunque estos ataques fueron limitados en escala y contenidos por los esfuerzos de seguridad al principio de la cadena de ataque.
- La educación y la manufactura por igual fueron las verticales más atacadas, representando casi el 50% del número total de compromisos de respuesta a incidentes. Les siguen los sectores de salud y administración pública.
- Los principales medios observados para obtener acceso inicial estaban relacionados con el uso de credenciales comprometidas en cuentas válidas y la explotación de aplicaciones públicas, cada una de las cuales representa el 28% de las actividades maliciosas.
Otras lecciones
- La falta de implementación de la autenticación multifactor (MFA) fue la principal debilidad de seguridad, representando el 36% de las interacciones, continuando una tendencia que Cisco Talos observó a lo largo de 2023. Talos IR observa con frecuencia ataques que podrían haberse evitado si la MFA estuviera habilitada en servicios críticos, como RDP (Remote Desktop Protocol).
- Hubo un aumento significativo en el phishing de códigos QR en 2023, según informes públicos, estos correos de phishing enviados a los dispositivos móviles y escaneados llevaban a una página de acceso falsa de Microsoft 365, una vez obteniendo las credenciales los atacantes activaban el MFA que era aprobado por los propios usuarios. Talos IR respondió a una campaña de phishing con código QR por primera vez en un compromiso de seguridad ocurrido en el cuarto trimestre.
- Aunque la vulnerabilidad de día cero denominada “Log4Shell” fue parchada en diciembre de 2021, los atacantes continúan explotando sistemas vulnerables dos años después.
- En casi el 60% de todos los compromisos de seguridad del trimestre, los adversarios obtuvieron acceso inicial mediante el uso de credenciales comprometidas en cuentas válidas y la explotación de aplicaciones de cara al público.
¿Cómo protegerse?
- La falta de MFA sigue siendo uno de los mayores impedimentos para la seguridad empresarial. Talos IR recomienda ampliar la MFA para todas las cuentas de usuario (por ejemplo, empleados, contratistas, socios comerciales, etcétera). Los usuarios deben tener una clara comprensión de los protocolos de respuesta empresarial adecuados cuando sus dispositivos se ven abrumados por un volumen excesivo de notificaciones “push” para MFA. Talos recomienda a las organizaciones que informen a sus colaboradores sobre los canales y puntos de contacto específicos para informar de estos incidentes, ya que los informes rápidos y precisos permiten a los equipos de seguridad identificar en poco tiempo la naturaleza del problema e implementar las medidas necesarias para abordar la situación de manera efectiva.
- Las soluciones de detección y respuesta de endpoints pueden detectar actividades maliciosas en las redes y máquinas de las organizaciones.
- Los sistemas Network Intrusion Detection System (NIDS) comoSnort,que es abierto y gratuito y ClamAV, también gratuito, que escanea servidores para detectar archivos maliciosos, pueden bloquear muchas herramientas conocidas previas al ransomware que los atacantes implementaron este trimestre, como Play y NoEscape.