Se ha publicado por estos días un interesante estudio que presenta, basado en el análisis de las estadísticas y comportamientos de las operaciones de la industria cibercriminal, datos de ciber ataques del año 2023 y se atreve a pronosticar cómo lucirá el panorama de amenazas en el futuro cercano.
La publicación llamada “The Hi-Tech Crime Trends” cuyo autor es Group-ib (organización que ha estudiado y publicado esta serie de datos desde 2012) muestra la conexión que está teniendo la inteligencia artificial con las amenazas de ciberseguridad centrándose en cómo la utilizan los ciber delincuentes para desarrollar herramientas que permiten hacer exploits y realizar actividades de espionaje, lo que se convierte en un potencial riesgo para los datos de las organizaciones.
La investigación muestra que ha crecido el apetito por los ataques tipo APT (Amenaza Avanzada Persistente) por sus siglas en inglés. Según Group-IB Threat Intelligence, en el año 2023 se produjo un aumento del 70% en el número de ofertas públicas de exploits de día cero para la venta entre las comunidades de ciberdelincuentes en comparación con 2022. El aumento indica un creciente interés y una mejora en la capacidad de los ciberdelincuentes para utilizar exploits de día cero.
En lo que respecta al ransomware, ha habido un incremento año contra año en la industria del RaaS (Ransomware as a Service) del 74% con respecto a 2022, notándose un aumento de la participación de IABs (Initial Access Brokers) que son actores dentro de la cadena especializados en infiltrar sistemas y redes para luego vender esos “accesos no autorizados” a otros actores maliciosos. Este negocio sigue en pleno auge.
Particularmente en América latina el estudio presenta entre otras, estas contundentes cifras:
- En 2023, el número de ataques de ransomware en la región de LATAM aumentó un 19% en comparación con el año anterior, y como dato curioso para el 2023 fueron las compañías de manufactura las que ostentaron el primer lugar como objetivos principales, seguidas de entidades de gobierno y militares. Brasil y México son los dos países que mas a menudo presentan ataques de ransomware
- Se ha identificado un aumento del 53% en el número de tarjetas de crédito comprometidas emitidas por bancos en comparación con 2022
- Se detectaron más de 166 nuevos casos de filtraciones de bases de datos públicas en países latinoamericanos, solo el 9% de ellas contenían contraseñas
Este estudio ha analizado los ataques enmarcándolos en las fases del marco de referencia MITRE ATT&CK y ha encontrado un foco importante en la explotación de lo que se denominan los External Remote Services, que son aquellos servicios que permiten la administración de un sistema de manera remota; además, el ransomware sigue siendo la ciber amenaza dominante en América Latina con un número de víctimas de al menos 224 que se vieron afectados por la técnica llamada Data Encrypted For Impact. Los datos encontrados por Group-IB también destacan un uso de tácticas de evasión de la defensa, los atacantes están usando más frecuentemente técnicas como “Cuentas válidas de dominio” para pasar desapercibidos. Es más fácil para los ciberdelincuentes iniciar sesión a través de cuentas válidas comprometidas en lugar de esforzarse por utilizar técnicas de hacking para intentar acceder a las redes corporativas.
Pero, ¿de dónde obtienen esta información los ciberdelincuentes? Existe en el mundo de la ciberdelincuencia algo denominado UCLs (Underground Cloud Logs), información gratuita que se constituye en una de las principales fuentes de datos sobre hosts infectados. Las UCL son servicios especiales que proporcionan acceso a información confidencial comprometida en su mayor parte, obtenida por los ladrones de información. Cada día se publican gigabytes de datos en estos “servicios”, y esa cifra sigue creciendo. Nos cuenta el estudio que, en el último año, se ha producido un aumento del 37% en el número de hosts infectados en LATAM cuyos registros se han publicado en UCL, alcanzando casi los 400.000. Brasil y México son los países más atacados de América Latina, Colombia es el tercer país en cuanto al número de dispositivos infectados en 2023.
¿Qué hacer entonces? Conocer muy bien la superficie de ataque de la organización, identificar los elementos que están expuestos a riesgos más altos y detectar comportamientos anómalos en las etapas más tempranas es la mejor estrategia de defensa, pues permite tomar acciones correctivas mucho antes de que algún daño se pueda materializar.
Para poder lograrlo es clave el uso de sistemas de detección y respuesta extendidas (XDR por sus siglas en inglés) que permiten recopilar y correlacionar de manera automática datos en múltiples capas de seguridad: el correo electrónico, los endpoints, servidores, cargas de trabajo en la nube, la red de datos, navegación, etc.
En Interlan hemos desarrollado servicios que permiten a las organizaciones implementar mecanismos de defensa temprana y proactiva, de tal manera que se puedan detener los ataques antes de que estos comiencen. ¡Más vale prevenir, que curar!
Si estás interesado en leer el reporte completo puede encontrar aquí https://www.group-ib.com/resources/research-hub/hi-tech-crime-trends-2023-latam/
Por: Gustavo Hurtado, Director comercial.
