De acuerdo a las predicciones para el 2023, el cibercrimen avanzado persistente traerá consigo una nueva ola de ataques a escala destructivos y empoderados por modelos de ciberdelito como servicio
Derek Manky, estratega de seguridad en jefe y VP Global de Inteligencia de Amenazas de FortiGuard Labs: “Al tiempo que el cibercrimen converge con métodos avanzados de amenazas persistentes, los criminales están encontrando formas de convertir las nuevas tecnologías en armas que sean aún más disruptivas y destructivas. No solo están enfocándose en superficies de ataque tradicionales, si no han empezado a buscar debajo de ellas, es decir; tanto dentro como fuera de los sistemas de red tradicionales. Por otro lado, están también invirtiendo más tiempo en reconocimiento para intentar evadir sistemas de detección, inteligencia y controles”.
“Esto significa que el ciber riesgo sigue escalando y que los CISOs necesitan ser tan ágiles y metódicos como el adversario. Las organizaciones estarán mejor preparadas para protegerse de estos ataques, apalancándose de plataformas de ciberseguridad integradas a través de redes, puntos de acceso y la nube, que permitan inteligencia de amenazas automatizada y accionable, de la mano de capacidades avanzadas de detección y respuesta basadas en el estudio del comportamiento”.
Fortinet, líder global en soluciones de ciberseguridad amplias, integradas y automatizadas reveló las predicciones de FortiGuard Labs, el equipo global de inteligencia e investigación de amenazas, respecto del panorama de ciberamenazas por los siguientes 12 meses y más allá. Desde ataques bajo el modelo de cibercrimen como servicio (CaaS) que evolucionan a pasos agigantados hasta nuevas explotaciones a objetivos no tradicionales como dispositivos de borde o mundos online, el volumen, la variedad y escala de las ciberamenazas mantendrá a los equipos de seguridad alerta durante el 2023. Destacamos a continuación lo más relevante de estas predicciones:
1) El éxito de RaaS, es una mirada a lo que viene con el CaaS Dado el éxito que los cibercriminales tuvieron con el ransomware como servicio (RaaS), un creciente número de vectores adicionales de ataque estará accesible como servicio a través de la dark web, lo cual impulsará la expansión del cibercrimen como servicio de un modo significativo. Más allá de la venta de ransomware y otras ofertas de malware, surgirán nuevos servicios ya que CaaS representa un modelo de negocio atractivo para los actores maliciosos. Con un nivel de habilidades variados, los delincuentes pueden fácilmente tomar ventaja de ofertas llave en mano sin invertir el tiempo y los recursos por adelantado para elaborar su propio plan de ataque único. Y para cibercriminales experimentados, crear y vender portafolios de ataque como servicio ofrece una vía de pago rápida, sencilla y replicable. En adelante, ofertas de CaaS por suscripción podrían proveer canales de ingreso adicionales. Además de esto, los actores maliciosos empezarán a aprovecharse de vectores de ataque emergentes como deepfakes, ofreciendo estos videos, grabaciones de audio y algoritmos relacionados para compra de un modo aún más amplio.
Uno de los métodos más importantes para defenderse en contra de estas amenazas es a través de programas de capacitación y concientización en ciberseguridad. Mientras que muchas organizaciones ya ofrecen entrenamiento básico de seguridad para los colaboradores, deberían considerar agregar nuevos módulos que provean educación para detectar los métodos cambiantes como las amenazas empoderadas por inteligencia artificial, por ejemplo.
2) Modelos de reconocimiento podrían hacer que los ataques sean aún más efectivos Otro aspecto sobre cómo la naturaleza organizada del cibercrimen permitirá estrategias de ataque más efectivas involucra al futuro del reconocimiento. Mientras los ataques se vuelven más enfocados, los actores maliciosos serán más propensos a contratar “detectives” en la dark web para reunir inteligencia sobre un objetivo particular antes de lanzar un ataque. Al igual que los datos que cualquiera pudiera obtener contratando un investigador privado, las ofertas de reconocimiento como un servicio pueden servir para diseñar un mapa de ataque que incluya el esquema de seguridad de la organización, personal de seguridad clave, el número de servidores, vulnerabilidades externas conocidas e incluso venta de credenciales comprometidas, para ayudar a un cibercriminal a ejecutar un ataque altamente enfocado y efectivo. Los ataques impulsados por estos modelos implican que detener a los adversarios durante la etapa de reconocimiento, será ahora la clave.
Atraer a cibercriminales con tecnología de engaño (deception technology) será de suma ayuda no solo para detectar RaaS si no también CaaS durante la fase de reconocimiento. La tecnología de engaño complementada con servicios de protección de riesgos digitales (DRP por sus siglas en inglés) puede ayudar a las organizaciones a conocer al enemigo y ganar así ventaja.
3) El lavado de dinero obtiene impulso gracias a la automatización
Para hacer crecer las organizaciones cibercriminales, se emplean mulas de dinero que, a sabiendas o sin saberlo, son utilizadas para ayudar a lavar dinero. El intercambio de dinero es usualmente efectuado a través de una transferencia anónima de servicios o utilizando criptomonedas para evadir la detección. Implementar campañas de reclutamiento de mulas de dinero ha sido siempre un proceso que consume demasiado tiempo, ya que los cibercriminales son capaces de ir lejos para crear sitios web de organizaciones falsas y ofertas de empleo para hacer que su negocio parezca legítimo. Las campañas de reclutamiento manuales serán remplazadas con servicios automatizados que muevan el dinero a través de las capas de intercambio de criptomonedas, haciendo que el proceso sea más rápido y difícil de rastrear. El lavado de dinero como servicio podría rápidamente convertirse en una práctica convencional como parte del creciente portafolio de CaaS. La migración hacia la automatización hará que el lavado de dinero sea más difícil de rastrear, disminuyendo las posibilidades de recuperar fondos robados.
Los métodos para buscar pistas de un futuro ataque fuera de la organización serán más importantes que nunca, para ayudarlas a prepararse antes de que un ataque ocurra. Los servicios DRP son críticos en la evaluación de la superficie de ataque externa para encontrar y solucionar problemas de seguridad y para ayudar a recolectar datos que sirvan de contexto sobre amenazas inminentes o actuales antes de que un ataque ocurra.
4) Ciudades y mundos virtuales son las nuevas superficies de ataque
El metaverso está dando lugar a nuevas experiencias inmersivas en el mundo virtual, las ciudades virtuales son algunas de las primeras en incursionar en esta nueva versión del internet impulsado por tecnologías de realidad aumentada. Los proveedores están lanzando incluso bienes digitales, disponibles para compra dentro del ecosistema. Si bien estos destinos virtuales abren la puerta a un mundo nuevo de posibilidades, también lo hacen para un incremento de cibercrimen sin precedentes en territorio no explorado. Por ejemplo, el avatar de un individuo es básicamente una puerta de acceso a información personal (PII), lo que los convierte en objetivos para los atacantes. Debido a que los individuos pueden comprar bienes y servicios en ciudades virtuales, usar carteras digitales, intercambiar criptomonedas, NFTs o cualquier otro tipo de moneda utilizada para hacer transacciones, ofrece a los actores maliciosos otra superficie de ataque emergente. El hackeo biométrico puede también convertirse en una posibilidad real gracias a los componentes de las ciudades virtuales que funcionan a base de realidad aumentada (AR) y realidad virtual (VR), haciendo que sea más fácil que los criminales roben huellas digitales, datos de reconocimiento facial o escaneo de retina, para después utilizarlos para propósitos maliciosos. Además de que las aplicaciones, protocolos y transacciones dentro de estos ambientes son también un posible objetivo para los adversarios.
La visibilidad, protección y mitigación que otorgan las soluciones de detección y respuesta para endpoint (EDR) son esenciales para permitir el análisis, la protección y la remediación en tiempo real, sin importar el lugar desde se trabaje, aprenda o las experiencias inmersivas.
5) El comercio del wiper malware permitirá ataques más destructivos
El wiper, malware de borrado de datos, ha protagonizado un dramático regreso en el 2022 con atacantes incluyendo nuevas variantes de este método que tiene más de una década. De acuerdo con el Reporte Global de Amenazas de FortiGuard Labs 2022 H1, con la llegada de la guerra en Ucrania hubo un incremento no solo en Europa, sino que fue también detectado en 24 países. Su crecimiento y prevalencia resulta alarmante ya que esto podría ser el comienzo de algo aún más destructivo. Más allá de la realidad actual de los actores maliciosos existentes que combinan gusanos con wipers, e incluso con ransomware para un mayor impacto, la preocupación de ahora en adelante es el comercio de wiper malware para cibercriminales. Estos malware que incluso pueden ser desarrollados y desplegados por actores de estado-nación, pueden ser reutilizados por grupos criminales y distribuido a través del modelo CaaS. Dada su disponibilidad combinada con el exploit correcto, el wiper malware podría causar una destrucción masiva en un corto período de tiempo gracias a la naturaleza organizada del cibercrimen actual. Esto hace que el tiempo de detección y la velocidad a la que los equipos de seguridad puedan remediar sean primordiales.
Utilizar inline sandboxing impulsado por inteligencia artificial es un buen punto de inicio para protegerse en contra de las amenazas de ransomware y de los wiper sofisticados. Integrado a una plataforma de seguridad, permite la protección en tiempo real en contra de ataques evolucionados, ya que puede asegurar que solo los archivos benignos sean entregados a los puntos de acceso.
¿Qué significan estas tendencias de ataque para los profesionales de ciberseguridad?
El mundo del cibercrimen y los métodos de ataque de los adversarios en general continúan escalando a una velocidad acelerada. La buena noticia es que muchas de las tácticas que están utilizando son conocidas, lo que pone en ventaja a los equipos de seguridad para que puedan protegerse. Las soluciones de seguridad deben ser mejoradas e impulsadas utilizando machine learning (ML) e inteligencia artificial (AI) para que puedan detectar patrones y detener amenazas en tiempo real. Sin embargo, una colección de soluciones puntuales de seguridad no es efectiva ante el panorama actual. Una arquitectura de ciberseguridad que sea amplia, integrada y automatizada es esencial para reducir la complejidad e incrementar la resiliencia de seguridad, ya que permite una mayor integración, visibilidad mejorada y una respuesta más rápida, coordinada y efectiva ante actores maliciosos en la red.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |