Sophos alerta del aumento de la amenaza del ransomware como servicio
La fuerza gravitacional del agujero negro del ransomware atrae a otras ciberamenazas para crear un sistema de distribución del malware masivo e interconectado. A punto de celebrarse el evento Sophos Day, su “Informe de Ciberamenazas 2022” realizado por este fabricante de seguridad de próxima generación ha identificado las tendencias para el próximo año. Se trata de un estudio exhaustivo detecta y analiza servicios de ransomware, herramientas de ataque, criptomineros y otros aspectos que afectan a la ciberseguridad de las empresas.
Los investigadores de seguridad de SophosLabs, expertos en cazadores de amenazas, el equipo de rápida respuesta MTR (Managed Threat Response) y el equipo de IA de Sophos ofrecen una perspectiva multidimensional única sobre las ciberamenazas y las tendencias de seguridad a las que se enfrentarán las empresas en 2022.
El Informe de Ciberamenazas 2022 de Sophos analiza las siguientes tendencias clave:
- Durante el próximo año, el panorama del ransomware se volverá más modular y más uniforme. Los «especialistas» en ataques de ransomware ofertarán diferentes elementos de un ataque en modalidad «as-a-service» y proporcionarán guías de estrategias (playbooks) con herramientas y técnicas que permiten a diferentes grupos de atacantes llevar a cabo ataques muy similares. Según los investigadores de Sophos, los ataques de grupos individuales de ransomware dieron paso a más ofertas de ransomware as-a-service (RaaS) durante 2021, en los que los desarrolladores especializados en ransomware se enfocaron en contratar código malicioso e infraestructura a terceras partes asociadas. Algunos de los ataques de ransomware más destacados del año pasado involucraron RaaS, como el ataque contra Colonial Pipeline en Estados Unidos llevado a cabo por un afiliado de DarkSide. Posteriormente, terceras partes afiliadas al ransomware Conti filtraron la guía de implementación proporcionada por los operadores, revelando las herramientas y técnicas paso a paso que los atacantes podían utilizar para desplegar el ransomware. Una vez que los atacantes tienen el malware que necesitan, los afiliados a RaaS y otros operadores de ransomware pueden recurrir a Initial Access Brokers (o agentes de acceso inicial que se dedican a detectar vulnerabilidades y venderlas a grupos de malware) y a las plataformas y aplicaciones de entrega de malware para encontrar y dirigirse a las potenciales víctimas. Esto alimenta la segunda gran tendencia identificada por Sophos.
- Las ciberamenazas establecidas seguirán adaptándose para distribuir y lanzar ataques de ransomware. Entre estas ciberamenazas se encuentran los loaders, droppers y otros programas maliciosos básicos; los Initial Access Brokers, o agentes de acceso inicial, cada vez más avanzados y operados por humanos; el spam y el adware. En 2021, Sophos informó sobre la amenaza Gootloader, que operaba novedosos ataques híbridos en los que se combinaban campañas masivas con un filtrado minucioso para localizar objetivos contra los que lanzar ataques de malware específicos.
- Se espera que el uso de múltiples formas de extorsión por parte de los atacantes de ransomware con las que presionar a las víctimas para que paguen el rescate continúe y aumente su alcance e intensidad. En 2021, los responsables del servicio Rapid Response de Sophos catalogaron diez tipos diferentes de tácticas de presión, entre las que destacaba el robo y la exposición de datos, las llamadas telefónicas amenazantes, los ataques de denegación de servicio distribuidos (DDoS), etc.
- Las criptomonedas seguirán alimentando ciberdelitos como el ransomware y la criptominería maliciosa, y Sophos prevé que esta tendencia continúe hasta que las criptomonedas estén mejor reguladas a nivel mundial. Durante 2021, los investigadores de Sophos descubrieron criptomineros como Lemon Duck y el menos común, MrbMiner, que aprovechan el acceso de vulnerabilidades recientes y los objetivos atacados por los operadores de ransomware para instalar criptomineros en ordenadores y servidores.
“El ransomware prospera gracias a su capacidad de adaptación e innovación”, explica Chester Wisniewski, investigador principal de Sophos. “Por ejemplo, a pesar de que las ofertas de RaaS no son nuevas, antes su objetivo principal era poner el ransomware al alcance de los atacantes menos cualificados o con menos fondos. Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear código sofisticado y determinar la mejor manera para obtener los mayores pagos de rescates por parte de las víctimas, las compañías de seguros y los negociadores. Ahora descargan en otros las tareas de encontrar víctimas, instalar y ejecutar el malware, así como blanquear las criptomonedas robadas. Esto está distorsionando el panorama de las ciberamenazas, y las amenazas comunes, como los loaders, droppers e Initial Access Brokers, que ya existían y causaban problemas mucho antes de la aparición del ransomware, están siendo absorbidas por el ‘agujero negro’ que parece consumirlo todo: el ransomware”.
Y continúa el investigador de Sophos: “Para las empresas ya no es suficiente con asumir que están a salvo simplemente supervisando las herramientas de seguridad y asegurándose de que detectan el código malicioso. Ciertas combinaciones de sistemas de detección o incluso avisos son el equivalente moderno a un ladrón que rompe un jarrón de flores mientras entra por la ventana trasera. Los defensores deben investigar todas las alertas, incluso las que podían ser insignificantes en el pasado, ya que estas intrusiones comunes se han convertido en el punto de apoyo necesario para tomar el control de redes enteras”.
Otras tendencias analizadas por Sophos en el Informe de Ciberamenazas 2022 son:
- Después de que las vulnerabilidades ProxyLogon y ProxyShell fueran descubiertas (y parcheadas) en 2021, la velocidad a la que fueron aprovechadas por los atacantes fue tal que los expertos de Sophos esperan ver, de aquí en adelante, continuos intentos de abuso masivo de las herramientas de administración de TI y de los servicios orientados a Internet tanto por atacantes sofisticados como por ciberdelincuentes corrientes.
- Sophos también pronostica que los ciberdelincuentes aumenten su abuso de las herramientas de simulación de adversarios, como Cobalt Strike Beacons, mimikatz y PowerSploit. Los equipos de seguridad deben comprobar cada alerta relacionada con herramientas legítimas vulneradas o con el uso de una combinación de herramientas legítimas del mismo modo que comprobarían una alerta maliciosa, ya que podría indicar la presencia de un intruso en la red.
- Durante 2021, los investigadores de Sophos han detallado una serie de nuevas amenazas dirigidas a los sistemas Linux. En esta línea, y durante el 2022, se espera ver un interés en los sistemas basados en Linux, tanto en la nube como en los servidores web y virtuales.
- Las amenazas a dispositivos móviles y las estafas de ingeniería social, como Flubot y Joker, continuarán y se diversificarán para dirigirse tanto a usuarios como a empresas.
- La aplicación de la inteligencia artificial a la ciberseguridad continuará y se acelerará, a medida que los potentes modelos de aprendizaje automático demuestren su eficacia en la detección de amenazas y la priorización de alertas. Por otro lado, los atacantes también harán un uso cada vez mayor de la IA. En los próximos años se verá un progreso desde las campañas de desinformación habilitadas por la IA y los perfiles falsos en las redes sociales, hasta el desarrollo de contenido web para llevar a cabo ataques “watering-hole” (en los que los atacantes infectan con malware sitios web muy utilizados por los miembros de una compañía), o el desarrollo de correos electrónicos mediante IA para campañas de phishing entre otros, a medida que las tecnologías avanzadas de síntesis de vídeo y voz deepfake estén disponibles.
Séptima edición del Sophos Day
Sophos Iberia, celebra el próximo 18 de noviembre, de 10:30 a 13:30h, la séptima edición del Virtual Sophos Day 2021. Un evento 100% online y gratuito donde se darán cita numerosos expertos en ciberseguridad, nacionales e internacionales, junto a profesionales y expertos en el sector para analizar el actual panorama de ciberseguridad, qué nos deparará el 2022, cuáles han sido los últimos y más impactantes ataques y por qué han sido tan exitosos. En el evento se diseccionarán los detalles del Informe de Ciberamenazas 2022 elaborado por la compañía, así como casos reales de ataques a empresas y cómo deben actuar los equipos de seguridad para proteger sus redes frente a estas nuevas amenazas. Sophos vende sus productos y servicios a través de partners resellers y managed service providers( MSPs) en todo el mundo.
Sophos nos dan cinco buenas razones para asistir:
- Ricardo Maté avanzará en primicia qué pasará en 2022 en el panorama de amenazas, contará los diez pasos a seguir en una situación crítica de respuesta ante incidentes y cómo el ecosistema de ciberseguridad de Sophos marca la diferencia.
- Alberto R Rodas, mostrará por qué Sophos es más seguro que nunca gracias a nuevas capas de seguridad como la mejorada capacidad de análisis XDR la cual, de forma Proactiva, pone en conocimiento acciones sospechosas por las que comenzar a investigar.
- Perter MacKenzie, Manager Incident Response, hablará de casos reales de empresas, cómo sucedió el incidente y qué les habría pasado si no hubieran contado con nuestra solución de respuesta ante amenazas, Sophos MTR.
- En esta edición contaremos con la experiencia de clientes en España y Portugal que hablarán de cómo la caza de amenazas se está convirtiendo en una defensa adicional permitiendo a los equipos de seguridad ser proactivos evaluando los objetivos de los adversarios.
- La protección, detección y respuesta activa ante amenazas es crucial en las estrategias de ciberseguridad hoy, pero contar con una robusta protección de la red, también es fundamental. Por eso, acabará Sophos Day 2021 con Sophos Firewall, mucho más que seguridad de red contado por Iván Mateos.