Durante el segundo trimestre del año, Talos (la división de ciber-inteligencia de Cisco) respondió a un creciente número de incidentes provocados por ataques de ransomware y de compromiso del correo electrónico empresarial (BEC), representando el 60% de todas las interacciones de Cisco Talos Incident Response.
El ransomware aumentó un 22% respecto al trimestre anterior, siendo Black Basta y BlackSuit los grupos más activos ya conocidos y Mallox y Underground Team nuevas familias de ransomware detectadas por primera vez durante el trimestre.
En términos de ataques BEC, aunque hubo una ligera disminución en los compromisos frente al primer trimestre del año, se han consolidado como una amenaza relevante en la que los adversarios comprometen cuentas de correo corporativas legítimas y las utilizan para enviar e-mails de phishing para obtener información confidencial como contraseñas o para realizar solicitudes fraudulentas como cambiar la información de la cuenta bancaria relacionada con la nómina o las facturas de los proveedores.
‘Smishing ‘al alza
Algunos de los incidentes BEC detectados por Talos aprovecharon el phishing por SMS, o ‘smishing’ para comprometer las cuentas. Esto implica que los adversarios envíen mensajes de texto fraudulentos tratando de engañar a los destinatarios para que compartan información personal o hagan clic en enlaces maliciosos.
Dirigirse a los dispositivos móviles personales de los empleados puede ser un método eficaz para el acceso inicial porque es posible que no tengan los mismos controles de seguridad que los dispositivos corporativos. Las organizaciones deben así asegurarse de concienciar a los trabajadores sobre el creciente número de estafas de phishing por SMS.
Credenciales comprometidas y falta de MFA
Por tercer trimestre consecutivo, el medio más observado para obtener acceso fue el uso de credenciales comprometidas en cuentas válidas, constituyendo el vector de entrada inicial en seis de cada diez interacciones este trimestre (un aumento del 25% frente al trimestre anterior).
Por su parte, el 80% de los ataques de ransomware observados carecían de una implementación adecuada de autenticación multifactor (MFA) en sistemas críticos como redes privadas virtuales (VPN), contribuyendo a que los adversarios obtuvieran acceso inicial. Junto a la falta de MFA o a una implementación inadecuada, los sistemas vulnerables o mal configurados constituyen la principal debilidad de seguridad observada durante el trimestre, con un aumento del 46%.
Talos IR también detectó un ligero aumento en la orientación a dispositivos de red durante el trimestre, representando el 24% de las interacciones. Esta actividad incluyó la pulverización de contraseñas, el escaneo y la explotación de vulnerabilidades.
Cisco Talos recomienda implementar MFA en todos los servicios críticos, incluyendo el acceso remoto y la gestión de acceso de identidad (IAM). MFA es el método más eficaz para la prevención de compromisos remotos. Y también puede ayudar a prevenir el movimiento lateral al exigir que todos los usuarios proporcionen una segunda forma de autenticación.