Las tácticas de baja tecnología siguen encabezando la tabla de riesgos de seguridad de TI


Los ciberdelincuentes están empleando vectores de ataque de baja tecnología para penetrar las defensas de seguridad. Porque a menudo escapan a la detección hasta que es demasiado tarde. Los ataques basados ​​en USB, los códigos QR en correos electrónicos de phishing y la ingeniería social mejorada con la ayuda de la IA generativa son ejemplos de tácticas de tecnología relativamente baja que se utilizan para lanzar ataques graves.

Esto se confirma en el último Informe de investigación de violaciones de datos (DBIR) de Verizon, que encuentra que las técnicas de ataque probadas siguen teniendo éxito, incluso cuando las amenazas planteadas por la IA generativa sacuden el panorama. Técnicas desgastadas.

Los ataques vía USB van en aumento

Los ataques basados ​​en USB, que implican cargar una unidad USB física con una carga útil maliciosa e infiltrarse en sistemas y redes corporativos cuando están conectados, han recibido recientemente una atención renovada. Este vector de ataque utiliza con mayor frecuencia la ingeniería social para engañar a los usuarios finales corporativos para que conecten unidades infectadas a sus computadoras de escritorio o portátiles corporativas. En los últimos años, los malos actores han estado creando unidades de disco falsas con marcas corporativas, enviando dispositivos como parte de promociones falsas haciéndose pasar por marcas minoristas e incluso ofreciendo juguetes como ositos de peluche con unidades USB incorporadas como premios falsos y como obsequios de fidelidad.

Checkpoint señaló a principios de este año que los actores de amenazas de los estados-nación están implementando infecciones a través de USB para atacar la infraestructura.

Una variante de malware popular, el gusano Raspberry Robin, es muy adecuada para este tipo de ataque y ha tenido éxito. Como señaló Mandiant el año pasado, los ataques USB cargados de malware siguen siendo un medio eficaz para obtener acceso inicial a las organizaciones.

“Con todo el enfoque en nuevas tecnologías como la IA generativa y amenazas de alto perfil como las amenazas avanzadas y persistentes de los Estados-nación, es fácil perder de vista lo básico”, dijo Nick Hyatt, director de inteligencia de amenazas de Blackpoint Cyber.

El equipo de Hyatt identificó recientemente una unidad USB fraudulenta que se utilizó para instalar el malware Raspberry Robin. Esto proporciona un trampolín para ataques posteriores, brindando al actor malicioso la capacidad de establecer presencia, mantener el acceso y moverse lateralmente, tres elementos críticos de un ataque exitoso. “La funcionalidad del cargador nos permite configurar la baliza Cobalt Strike para descargar, establecer persistencia y permitir que el atacante obtenga acceso inicial y comience a integrarla en el entorno”, dijo Hiatt al CSO.

En otras áreas, ve la amenaza de una publicidad maliciosa generalizada. Los navegadores sin bloqueadores de anuncios pueden poner a los usuarios en riesgo de hacer clic en anuncios que parecen anuncios o pancartas patrocinadas pero que en realidad son maliciosos y potencialmente envían malware a sus dispositivos.

El desafío con este tipo de ataques es identificar la actividad maliciosa en la etapa de explotación a medida que ocurre. “Después de la explotación, hay muchas más posibilidades de identificar actividades maliciosas”, afirma.

Hyatt ve el riesgo de que las organizaciones se centren tanto en ataques nuevos e innovadores que pasen por alto métodos menos sofisticados. “Al centrarse en la higiene de la seguridad en lugar de seguir las últimas modas, puede estar mejor posicionado para frustrar ataques de baja tecnología que a menudo son más efectivos”.

Códigos QR que probablemente sean mal utilizados

Según Deral Heiland, investigador principal de seguridad de IoT en Rapid7, los ataques basados ​​en códigos QR son un área que requiere mayor atención ya que buscan explotar elementos humanos que no necesariamente están capacitados para ser cautelosos.

Estas tecnologías, que volvieron a pasar a primer plano durante la pandemia de coronavirus, ahora se utilizan comúnmente en una variedad de situaciones, incluido el transporte de carga, el acceso a detalles de Wi-Fi, la autenticación de cuentas en línea y la transferencia de información de pago, y corren un alto riesgo de serlo. mal usado.

Según informes de la industria, los ataques de phishing con códigos QR (también conocidos como quissing) están en aumento, y los estafadores envían correos electrónicos de phishing cuidadosamente elaborados o instalan códigos QR maliciosos en lugares públicos. Engañan a las personas para que hagan clic porque creen que es seguro.

Según Heiland, incluso tareas mundanas como generar un código QR para configurar la aplicación Microsoft Authenticator utilizada para la autenticación de dos factores en Office 365 han normalizado los códigos QR como un mecanismo seguro en la mente de los usuarios. siendo mal utilizado. “La gente está entrenada para no hacer clic en enlaces, pero no cuando se trata de usar códigos QR para autenticación”, dice Heiland a CSO.

El peligro de los códigos QR es que pueden permitir a los usuarios iniciar casi cualquier aplicación en su dispositivo, descargar un archivo o abrir un navegador para visitar un sitio web sin darse cuenta de lo que se está haciendo.

Además, debido a que los códigos QR a menudo trasladan a las personas a dispositivos móviles, y los dispositivos móviles a menudo no tienen las mismas protecciones que otros dispositivos, los actores malintencionados pueden implementar códigos QR maliciosos para robar información confidencial. Si bien esto puede abrir vías para todo tipo de ataques, tiende a ser menos alarmante que los enlaces de correo electrónico. “El proceso de aplicación de parches y el entorno de seguridad en sí son menos importantes porque incluso las personas que están bien capacitadas para no hacer clic en los enlaces de los correos electrónicos pueden ser engañadas por los códigos QR”, dijo Heiland.

Aún más preocupante para los líderes de seguridad es la prevalencia de ataques con códigos QR dirigidos a ejecutivos. Según los datos del último Informe sobre amenazas por correo electrónico de Abnormal, los ejecutivos tienen 42 veces más probabilidades de verse sujetos a un ataque malicioso de quishing. “Se recomienda a las personas con códigos QR que no hagan clic en nada, que revisen los enlaces y otros textos en busca de errores ortográficos y que utilicen la configuración del teléfono para evitar que se inicien aplicaciones, navegadores, etc. Necesitamos educar”, añadió Hyland.

Potencia la ingeniería social con IA

El error humano sigue siendo un factor importante en los incidentes y aparece una y otra vez en los informes de análisis de incidentes. Esta es una de las razones por las que los ataques de baja tecnología y barreras bajas siguen siendo peligrosos. Estos ataques tienen como objetivo el elemento humano, que no puede abordarse únicamente mediante controles técnicos.

Descubra por qué se han identificado llamadas falsas al servicio de asistencia técnica de ingeniería social en incidentes importantes como las infracciones de GoDaddy y MGM Resorts. Con un poco de creatividad y herramientas generadas por inteligencia artificial, los ciberdelincuentes pueden eludir protecciones como la autenticación de dos factores y alentar a las personas a compartir credenciales o cambiar contraseñas, allanando el camino para que los atacantes puedan ingresar.

En el ataque de 100 millones de dólares a MGM, una llamada bien investigada al servicio de asistencia técnica permitió al atacante engañar a alguien para que restableciera la autenticación multifactor de un usuario y obtuviera acceso. Utilizando nombres de usuario y contraseñas robados, junto con información complementaria obtenida de los perfiles de LinkedIn de usuarios de alto valor, los atacantes pudieron robar información de los clientes e interrumpir muchas de las operaciones de la empresa.

“Los ciberdelincuentes pueden llegar muy lejos con pocos conocimientos técnicos, por lo que debemos seguir creando conciencia sobre los ataques clásicos menos sofisticados que siguen siendo eficaces”, afirma María Cristina Hayden, directora ejecutiva y fundadora de Outfoxm, especialista en ciberhigiene.

Ya sea ingeniería social “clásica”, como irrumpir en un edificio y acceder físicamente a una red, enviar una carta haciéndose pasar por un recaudador de fondos de caridad o hacer llamadas telefónicas sobre temas falsos, incluso con ingeniería social digital, la capacidad de manipular a alguien para que proporcione. la información o el acceso siguen siendo válidos.

Hayden dijo que los delincuentes están yendo más allá y apuntando a personas en sus hogares, con la esperanza de utilizar su información personal para obtener acceso a cuentas y redes corporativas. Esta amenaza, que suele estar dirigida a ejecutivos y personas en puestos de liderazgo con acceso a información confidencial de la empresa, surge cuando los delincuentes buscan intensificar tácticas y guiones de ingeniería social para contrarrestar las campañas de educación de los empleados.

“En general, la conciencia sobre la seguridad en las organizaciones ha mejorado y la mayoría de las personas se vuelven más escépticas en el trabajo, pero menos escépticas y menos cautelosas en casa”, les dijo a las OSC. Los delincuentes se están aprovechando de esto, apuntando a cuentas de Gmail y Facebook con la esperanza de eventualmente obtener acceso a las organizaciones, afirma.

Como muestra el ejemplo de MGM, los sitios de redes sociales como Facebook y LinkedIn son un tesoro de información personal. Estos sitios son muy valiosos porque permiten a los delincuentes establecer vínculos entre personas y generar una gran cantidad de información sobre sus familias, amigos, pasatiempos y lugares de trabajo que puede usarse en ataques bien construidos en las redes sociales.

No son sólo los ejecutivos los que están en el punto de mira. Los ciberdelincuentes se dirigen a una amplia variedad de trabajos. Estos incluyen desarrolladores de software, personal de recursos humanos, personal de soporte técnico, pagos/finanzas, secretarias ejecutivas y personal de relaciones con el cliente. Porque tienen acceso a redes y sistemas atractivos para los ciberdelincuentes. “Necesitamos proporcionar a esos empleados, no sólo a los de alta dirección y puestos clave, los recursos para protegerse mejor y aumentar la conciencia”, dice.

Los ciberdelincuentes también están aprovechando herramientas de inteligencia artificial generativa que pueden mejorar el lenguaje, el estilo y el diseño de los ataques de ingeniería social y phishing, haciéndolos más realistas y más difíciles de identificar para las personas.

Al incorporar otras tácticas, como mejores enlaces, ortografía y gramática mejoradas y códigos QR, estos ataques generan muchas menos señales de alerta que las personas y los sistemas capacitados para detectar señales típicas no tienen. “Estas tácticas de ingeniería social siguen teniendo éxito porque los atacantes son persistentes, creativos con la ayuda de la IA y más convincentes que nunca”, dijo Hayden.



Fuente: https://www.csoonline.com/article/2098369/low-tech-tactics-still-top-the-risk-chart-for-organizations.html/amp/