Fortinet ha publicado el Índice de Amenazas Globales de su equipo de inteligencia de amenazas, FortiGuard Labs que destaca la distribución masiva del malware denominado Wiper. Debido a la falta de fronteras en Internet, los ciberdelincuentes pueden escalar fácilmente este tipo de ataques, en gran medida gracias al modelo de ciberdelincuencia como servicio (CaaS).
A principios de 2022, varios Wipers nuevos surgieron en paralelo a la guerra entre Rusia y Ucrania. A lo largo del año, el malware Wiper se expandió a otros países, registrándose un aumento del 53% de su actividad sólo del tercer al cuarto trimestre. Aunque parte de este incremento podría deberse a que Wiper pudo haber sido desarrollado y desplegado inicialmente por agentes de los Estados-nación en torno a la guerra, está siendo recogido por grupos de ciberdelincuentes y se está extendiendo más allá de Europa. Por desgracia, la trayectoria del destructivo malware Wiper no parece que vaya a ralentizarse a corto plazo, según el volumen de actividad observado en el cuarto trimestre, lo que significa que toda organización sigue siendo un objetivo potencial, no sólo aquellas con sede en Ucrania o en los países vecinos.
En la segunda mitad de 2022, menos del 1% del total de vulnerabilidades observadas descubiertas en una organización de tamaño empresarial se encontraban en endpoints y bajo ataque activo, lo que proporciona a los CISO una visión clara de la Zona Roja y dónde deben priorizar los esfuerzos para minimizar su riesgo y centrar el parcheo.
Índice de temas
Ransomware en busca de dinero
El cibercrimen con motivación financiera generó el mayor volumen de incidentes (73,9%), muy por delante del atribuido al espionaje (13%). En todo el año 2022, el 82% de los ciberdelitos con fines económicos utilizaron ransomware o scripts maliciosos, lo que demuestra que la amenaza global de ransomware sigue en plena vigencia sin evidencia de desaceleración gracias a la creciente popularidad de Ransomware as a Service (RaaS) en la dark web.
El cibercrimen con motivación financiera generó un 73,9% de ciberincidentes, muy por delante del atribuido al espionaje 13%
De hecho, el volumen de ransomware aumentó un 16% con respecto al primer semestre de 2022. De un total de 99 familias de ransomwareobservadas, las cinco principales representaron aproximadamente el 37% de toda la actividad de ransomware durante la segunda mitad del año. GandCrab, un malware RaaS que surgió en 2018, encabezaba la lista. Aunque los delincuentes detrás de GandCrab anunciaron que se retiraban después de obtener más de 2.000 millones de dólares de beneficios, durante el tiempo que este ransomware estuvo activo proliferaron sus variantes.
Es posible que el legado a largo plazo de este grupo delictivo siga perpetuándose, o que el código simplemente se haya desarrollado, modificado y relanzado, poniendo en valor la importancia de las asociaciones globales entre todo tipo de organizaciones para desmantelar las operaciones delictivas. La desarticulación eficaz de las cadenas de suministro de los ciberdelincuentes requiere un esfuerzo coordinado a nivel mundial basado en relaciones sólidas y de confianza y en la colaboración entre las partes interesadas en la ciberseguridad de organizaciones e industrias públicas y privadas.
La reutilización de código y el ingenio de los cibercriminales
Los ciberdelincuentes son emprendedores por naturaleza y siempre buscan maximizar las inversiones y los conocimientos existentes para que sus ataques sean más eficaces y rentables. La reutilización de código es una forma eficiente y lucrativa para lograr sus objetivos, a la vez que realizan cambios en las variantes del malware para afinar sus ataques y superar los obstáculos defensivos.
Cuando FortiGuard Labs analizó el malware más prevalente en la segunda mitad de 2022, la mayoría de los primeros puestos estaban ocupados por malware con más de un año de antigüedad. La investigación mostró que Emotet ha pasado por una evolución significativa con variantes que se dividen en aproximadamente seis “especies” diferentes de malware. Es decir, los ciberdelincuentes no se limitan a automatizar las amenazas, sino que adaptan activamente el código para hacerlo aún más eficaz.
La resurrección de la red de bots más antigua
Además de la reutilización de código, los atacantes también aprovechan la infraestructura existente y las amenazas más antiguas para maximizar las oportunidades. Al examinar la prevalencia de las amenazas de redes de bots, FortiGuard Labs descubrió que muchas de las principales redes de bots no son nuevas. Por ejemplo, la red Morto, que se observó por primera vez en 2011, se disparó a finales de 2022. Y otras como Mirai y Gh0st.Rat siguen siendo frecuentes en todas las regiones. Sorprendentemente, de las cinco principales redes de bots observadas, solo RotaJakiro es de esta década.
Aunque pueda resultar tentador dar por olvidadas las amenazas más antiguas, es necesario mantenerse alerta. Estas redes de bots “antiguas” son omnipresentes por una razón: siguen siendo altamente eficaces. Los ciberdelincuentes con más recursos seguirán aprovechando la infraestructura de botnets existente y la mejorarán con versiones cada vez más persistentes gracias a técnicas altamente especializadas, ya que el retorno de la inversión es importante. En concreto, en la segunda mitad de 2022, entre los objetivos más importantes de Mirai se encontraban los proveedores de servicios de seguridad gestionados (MSSP), el sector de las telecomunicaciones y las operadoras, y el sector industrial, conocido por su omnipresente tecnología operativa (OT). Los delincuentes se coordinan para atacar estas industrias con métodos ya probados.
