IBM Security publicó su informe 2021 X-Force Threat Intelligence Index, que destaca cómo evolucionaron los ciberataques en 2020 a medida que los agentes de amenazas cibernéticas buscaban beneficiarse de los desafíos socioeconómicos, comerciales y políticos sin precedentes provocados por la pandemia de COVID-19. En 2020, IBM Security X-Force observó que los atacantes se centraron en organizaciones vitales para los esfuerzos globales de respuesta a COVID-19, como hospitales, fabricantes de insumos médicos y farmacéuticos, así como compañías de energía que alimentan la cadena de suministro de COVID-19.
Según el nuevo informe, los ataques cibernéticos a organizaciones de atención médica, fabricación y energía se duplicaron con respecto al año anterior, ya que los agentes de amenazas cibernéticas hicieron blanco en organizaciones que no podían permitirse el tiempo de inactividad debido a los riesgos de interrumpir los esfuerzos médicos o cadenas de suministro críticas. De hecho, la industria manufacturera y la energía fueron los sectores más atacados en 2020, solo superados por el sector financiero y de seguros. A esto contribuyeron los atacantes que se aprovecharon del aumento de casi un 50% en las vulnerabilidades en los sistemas de control industrial (ICS), de los que tanto la fabricación como la energía dependen en gran medida.
“En esencia la pandemia ha reformulado lo que hoy se considera infraestructura crítica, y los atacantes tomaron nota. Muchas organizaciones debieron pasar a la línea de frente en los esfuerzos de respuesta por primera vez, ya sea para apoyar la investigación de COVID-19, defender las cadenas de suministro de vacunas y alimentos o producir equipo de protección personal”, comentó Nick Rossmann, Líder de Inteligencia de Amenazas Globales en IBM Security X-Force. “La victimología de los atacantes cambió conforme se fueron sucediendo los hechos en la línea de tiempo de COVID-19, lo que señala, una vez más, la adaptabilidad, el ingenio y la persistencia de los adversarios del ciberespacio”.
El índice de inteligencia de amenazas X-Force se basa en conocimientos y observaciones obtenidos gracias al monitoreo de más de 150 mil millones de eventos de seguridad por día en más de 130 países. Además, los datos se recopilan y analizan de múltiples fuentes dentro de IBM, incluyendo las áreas IBM Security X-Force Threat Intelligence and Incident Response, X-Force Red, IBM Managed Security Services, y los datos proporcionados por Quad9 e Intezer, los cuales contribuyeron al informe 2021.
La inversión en malware de código abierto amenaza los entornos de nube
En medio de la pandemia de COVID-19, muchas empresas buscaron acelerar su adopción de la nube. “De hecho, una encuesta reciente de Gartner descubrió que casi el 70% de las organizaciones que utilizan servicios en la nube planean aumentar su gasto en la nube a raíz de la disrupción causada por COVID-19”. Pero considerando que Linux actualmente impulsa el 90% de las cargas de trabajo en la nube y que el informe X-Force detalla un aumento del 500% en las familias de malware relacionado con Linux en la última década, los entornos en la nube pueden convertirse en un vector de ataque importante para los agentes de amenazas cibernéticas.
Con el aumento del malware de código abierto, IBM evalúa que los atacantes pueden estar buscando formas de mejorar sus márgenes de ganancia, posiblemente reduciendo costos, aumentando la efectividad y creando oportunidades para escalar ataques más rentables. El informe destaca varios grupos de amenazas como APT28, APT29 y Carbanak que recurren al malware de código abierto, lo que indica que esta tendencia será un acelerador para más ataques a la nube el próximo año.
El informe también sugiere que los atacantes están explotando la potencia de procesamiento expandible que brindan los entornos de nube, transfiriendo altos cargos por uso de la nube a las organizaciones víctimas, ya que Intezer observó más del 13% de código nuevo, previamente no observado, en el malware de criptominería de Linux en 2020.
Con la mirada de los atacantes puesta en las nubes, X-Force recomienda que las organizaciones consideren un enfoque de confianza cero para su estrategia de seguridad. Las empresas también deben hacer de la computación confidencial un componente central de su infraestructura de seguridad para proteger sus datos más confidenciales: al cifrar los datos en uso, las organizaciones pueden ayudar a reducir el riesgo de explotación por parte de un agente malintencionado, incluso si pudiera acceder a sus ambientes confidenciales.
Cibercriminales se hacen pasar por marcas famosas
El informe de 2021 destaca que los ciberdelincuentes optaron por hacerse pasar con mayor frecuencia como marcas en las que los consumidores confían. Considerada una de las marcas más influyentes del mundo, Adidas les pareció atractiva a los ciberdelincuentes que intentaron explotar la demanda de consumidores en busca de zapatillas codiciadas, llevándolos a webs maliciosas que simulaban ser sitios legítimos. Una vez que un usuario visitaba estos dominios que parecían legítimos, los ciberdelincuentes intentaban realizar estafas de pago en línea, robar información financiera de los usuarios, recolectar credenciales de usuario o infectar los dispositivos de las víctimas con malware.
El informe indica que la mayoría de las falsificaciones de Adidas están asociadas con las líneas de zapatillas Yeezy y Superstar. La línea Yeezy según estimaciones recaudó USD 1.3 mil millones en 2019 y fue una de las zapatillas más vendidas por el gigante de la fabricación de ropa deportiva. Es probable que, debido a la expectativa generada por el lanzamiento de zapatillas a principios de 2020, los atacantes aprovecharan la demanda de esta rentable marca para obtener sus propias ganancias.
Ransomware, en el podio de los ataques de 2020
Según el informe, en 2020 el mundo experimentó más ataques de ransomware en comparación con 2019. Casi el 60% de los ataques de ransomware a los que X-Force respondió utilizaron una estrategia de doble extorsión en la cual los atacantes cifraban, robaban y luego amenazaban con filtrar datos, si no se pagaba el rescate. De hecho, en 2020, el 36% de las filtraciones de datos que X-Force rastreó provinieron de ataques de ransomware que también implicaban un supuesto robo de datos, lo que sugiere que las filtraciones de datos y los ataques de ransomware están comenzando a colisionar.
El grupo de ransomware más activo reportado en 2020 fue Sodinokibi (también conocido como REvil), responsable del 22% de todos los incidentes de ransomware que X-Force observó. X-Force estima que Sodinokibi robó aproximadamente 21,6 terabytes de datos de sus víctimas, casi dos tercios de las víctimas pagaron un rescate y en aproximadamente el 43% de los casos se filtraron datos. Según las estimaciones de X-Force, se calcula que ese grupo habría ganado más de USD 123 millones el año pasado.
Al igual que Sodinokibi, el informe descubrió que los grupos de ransomware más exitosos en 2020 se dedicaron también a robar y filtrar datos, así como en crear cárteles de ransomware como servicio y subcontratar aspectos clave de sus operaciones a ciberdelincuentes que se especializan en diferentes aspectos de un ataque. En respuesta a estos ataques de ransomware más agresivos, X-Force recomienda que las organizaciones limiten el acceso a los datos confidenciales y protejan las cuentas clave con administración de acceso privilegiado (PAM) y administración de identidades y accesos (IAM).
