Fortinet® (NASDAQ: FTNT), líder global en soluciones de ciberseguridad completes, integradas y automatizadas, ha desvelado las conclusiones del último informe semestral realizado por su equipo de expertos en inteligencia de amenazas, FortiGuard Labs. De acuerdo con el Índice Global de Amenazas, en la segunda mitad de 2020 hubo un volumen de amenazas sin precedentes en el que los criminales aprovecharon una superficie de ataque en expansión para escalar sus amenazas a todo el mundo. El cibercrimen demostró su gran capacidad de adaptación creando olas de ataques disruptivos y sofisticados. Su foco fueron los teletrabajadores y los estudiantes online, pero también mostraron una gran agilidad en los ataques a las cadenas de suministro digitales e incluso a la red principal. Informe completo descargable aquí.
Para Derek Manky, Chief, Security Insights & Global Threat Alliances en FortiGuard Labs “En el año 2020 fuimos testigos, de inicio a fin, de un dramático panorama de ciberamenazas. Aunque la pandemia desempeñó un papel fundamental, a medida que avanzaba el año los cibercriminales desarrollaron ataques con resultados cada vez más perturbadores. Aprovecharon la ampliación de la superficie de ataque digital más allá de la red principal, para atacar el trabajo o el aprendizaje a distancia, y la cadena de suministro digital. El riesgo de ciberseguridad nunca ha sido mayor, ya que todo está interconectado en un entorno digital más amplio. Los enfoques de plataformas integradas e impulsadas por IA y dotadas de inteligencia de amenazas procesables, son vitales para establecer una defensa en todos los perímetros e identificar y solucionar las amenazas a las que se deben enfrentarse ahora las organizaciones en tiempo real».
Las principales conclusiones del informe de FortiGuard son:
- El ransomware continúa imparable: Los datos de FortiGuard Labs muestran que la actividad global de ransomware se ha multiplicado por siete en relación al primer semestre de 2020. Los responsables de este aumento son muy variados. La evolución del ransomware como servicio (RaaS), con el enfoque de grandes rescates para grandes objetivos, y la amenaza de revelar los datos robados si no se cumplen las demandas, se combinaron para crear las condiciones para este crecimiento masivo. Además, con diferentes grados de prevalencia, las cepas de ransomware más activas que se rastrearon fueron Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING y BazarLoader.
Entre los sectores más atacados por el ransomware se encuentran la sanidad, las empresas de servicios profesionales, las empresas de servicios al consumidor, la administración pública y las empresas de servicios financieros. Para hacer frente con eficacia al riesgo cambiante del ransomware, las organizaciones tendrán que asegurarse de que las copias de seguridad de los datos se realicen convenientemente, sean completas y estén segura fuera del sitio. También se debe valora implementar una estrategia de acceso y segmentación de confianza cero para minimizar el riesgo.
- La cadena de suministro se convierte en el centro de atención: Los ataques a la cadena de suministro no son nuevos, pero la brecha de SolarWinds ha elevado el debate a nuevas cotas. A medida que se desarrollaba el ataque, las organizaciones afectadas compartieron una significativa cantidad de información, FortiGuard Labs monitorizó la propagación de este ataque en la cadena de suministro utilizándolo para crear Indicadores de Compromiso (IoCs) para detectar la actividad. Las detecciones de las comunicaciones con la infraestructura de Internet asociada a SUNBURST durante diciembre de 2020 demuestran que la campaña era global, y que los Five Eyes mostraron índices especialmente altos de tráfico que coincidían con los IoC maliciosos. También hay pruebas de posibles objetivos indirectos que enfatizan el alcance interconectado de los ataques modernos a la cadena de suministro y la importancia de su gestión de riesgos.
- Los adversarios apuntan a sus movimientos online: El examen de las categorías de malware más frecuentes revela las técnicas más populares que utilizan los ciberdelincuentes para establecerse en las organizaciones. El principal objetivo de ataque fueron las plataformas de Microsoft, aprovechando los documentos que la mayoría de la gente utiliza y consume durante un día de trabajo. Los navegadores web siguieron siendo el otro frente de batalla. Esta categoría de HTML incluía sitios de phishing cargados de malware y scripts que inyectan código o redirigen a los usuarios a sitios maliciosos. Este tipo de amenazas aumenta inevitablemente en épocas de problemas globales o en períodos de auge del ecommerce. Los empleados, que suelen beneficiarse de los servicios de filtrado web cuando navegan desde la red corporativa, siguen estando más expuestos cuando lo hacen fuera de ese filtro protector.
- La oficina en casa sigue siendo un objetivo del cibercrimen: Las barreras entre el hogar y la oficina se erosionaron significativamente en 2020, lo que significa que atacar el hogar pone a los adversarios un paso más cerca de la red corporativa. En la segunda mitad de 2020, los exploits dirigidos a los dispositivos del Internet de las Cosas (IoT), como los que existen en muchos hogares, ocuparon los primeros puestos de la lista. Cada dispositivo IoT introduce un nuevo perímetro de la red que necesita ser defendido y requiere la supervisión y aplicación de la seguridad en cada dispositivo.
- Un elenco de actores se une a la escena global: Los grupos de amenazas persistentes avanzadas (APT) siguen explotando la pandemia de COVID-19 de diversas maneras. Entre las más comunes se encuentran los ataques centrados en la recopilación masiva de información personal, el robo de propiedad intelectual y la obtención de información de inteligencia alineada con las prioridades nacionales del grupo APT. A medida que se acercaba el final de 2020, se produjo un aumento de la actividad de las APTs dirigida a organizaciones implicadas en el trabajo relacionado con el Covid-19, incluyendo la investigación de vacunas y el desarrollo de políticas sanitarias nacionales o internacionales en torno a la pandemia. Entre las organizaciones objetivo se encontraban agencias gubernamentales, empresas farmacéuticas, universidades y empresas de investigación médica.
- Aplanar la curva de explotación de las vulnerabilidades: La aplicación de parches y la reparación son prioridades constantes para las organizaciones, ya que los ciberadversarios siguen intentando explotar esta vulnerabilidades. Al seguir la progresión de 1.500 exploits en los últimos dos años, los datos demuestran lo rápido y lo lejos que se propagan. Aunque no siempre es así, parece que la mayoría de los exploits no se propagan muy rápido. Entre todos los exploits rastreados en los últimos dos años, sólo el 5% fueron detectados por más del 10% de las organizaciones. En igualdad de condiciones, si se elige una vulnerabilidad al azar, los datos muestran que hay aproximadamente una probabilidad de 1 entre 1.000 de que una organización sea atacada. Alrededor del 6% de los exploits afectan a más del 1% de las empresas en el primer mes, e incluso después de un año, el 91% de los exploits no han superado ese umbral del 1%. En cualquier caso, sigue siendo prudente centrar los esfuerzos de corrección en las vulnerabilidades con exploits conocidos y, entre ellas, dar prioridad a las que se propagan más rápidamente.
La lucha contra el cibercrimen requiere una estrategia integrada y una gran concienciación
Las organizaciones se enfrentan a un panorama de amenazas con ataques en todos los frentes. La inteligencia de amenazas sigue siendo fundamental para entender cómo operan y cómo defenderse de los vectores de amenaza en evolución. La visibilidad también es clave, sobre todo cuando una cantidad significativa de usuarios se encuentra fuera del escenario típico de la red. Cada dispositivo crea un nuevo perímetro de red que debe ser supervisado y protegido. El uso de la inteligencia artificial (IA) y la detección automatizada de amenazas puede permitir a las organizaciones hacer frente a los ataques de forma inmediata, no más tarde, y son necesarias para mitigar los ataques a velocidad y escala en todos los perímetros.
La formación de los usuarios en materia de ciberseguridad también debe seguir siendo una prioridad, ya que la ciberhigiene no es sólo de dominio de los equipos de TI y de seguridad. Todos los usuarios necesitan formación e instrucción periódica sobre las mejores prácticas para mantener la seguridad propia y de la organización.
Metodología del Índice Global de Amenazas
El último informe “Fortinet Global Threat Landscape” es un análisis semestral que analiza la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de Fortinet diseminados por todo durante la segunda mitad de 2020. De forma similar a cómo el marco ATT&CK de MITRE clasifica las tácticas y técnicas de los adversarios, con las tres primeras agrupaciones que abarcan el reconocimiento, el desarrollo de recursos y el acceso inicial, el Índice sobre el panorama global de las amenazas de FortiGuard Labs aprovecha este modelo para describir cómo los actores de las amenazas encuentran vulnerabilidades, construyen infraestructuras maliciosas y explotan sus objetivos. El informe también cubre perspectivas globales y regionales.