Según el 17º Informe Anual de Investigación de Violaciones de Datos (DBIR) de Verizon, ha habido un aumento de casi tres veces en el número de actores maliciosos que explotan vulnerabilidades como medio para iniciar violaciones de seguridad.
“Hemos visto un aumento dramático en la explotación de vulnerabilidades como vector de acceso inicial, más del 180% año tras año”, dijo a Light Reading Chris Novak, director senior de consultoría de ciberseguridad de Verizon Business. “Muchos de ellos fueron causados por exploits como las vulnerabilidades de día cero”.
Los ataques de vulnerabilidad también representaron el 14% de todas las infracciones, un aumento del 180% con respecto al período anterior analizado por DBIR en 2023. El último informe analizó los incidentes de seguridad ocurridos entre el 1 de noviembre de 2022 y el 31 de octubre de 2023. Aproximadamente 90 organizaciones proporcionan datos a Verizon para su uso en DBIR.
La actividad de los piratas informáticos se está acelerando
“Ya no se trata de la supervivencia del más apto, sino de la supervivencia del más rápido”, dijo Novak. “Si nos fijamos en el tiempo que tardan las organizaciones en solucionar las vulnerabilidades críticas después de que se lanza un parche, normalmente se necesitan unos 55 días para solucionar aproximadamente el 50% de las vulnerabilidades críticas”.
Verizon analizó el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA) para determinar el tiempo promedio que les toma a las organizaciones abordar las vulnerabilidades.
Novak dijo que las organizaciones no pueden mantener el ritmo necesario para abordar las vulnerabilidades una vez que se hacen públicas. Por otro lado, los atacantes maliciosos pueden “evadir los ataques de día cero” [attacks] Y añadió: “Una vez que se anuncia una vulnerabilidad, los atacantes actúan rápidamente”. Si bien un atacante tarda unos cinco días en comenzar a escanear un objetivo, una organización tarda unos dos meses en corregir una vulnerabilidad.
Una de las mayores vulnerabilidades en 2023 fue la violación del software MOVEit, que tuvo el mayor impacto en las industrias educativa y financiera. MOVEit es un software de transferencia de archivos, pero Experian informa que el grupo de hackers CL0P accedió a MOVEit en mayo de 2023. CL0P utilizó malware para robar datos personales y envió cartas de solicitud de rescate a los ejecutivos.
Según el DBIR de 2024, “CISA informa que el equipo de ransomware CL0P aprovechó una pequeña cantidad de vulnerabilidades de día cero para comprometer a más de 8.000 organizaciones en todo el mundo”.
Reducción de ransomware
Según el informe, las técnicas de extorsión como el ransomware representan el 32% de todas las infracciones. La mayoría de las infracciones (68%) involucran un elemento humano benigno, cuando un individuo comete un error o se convierte en víctima de un ataque de ingeniería social.
La capacitación adicional sobre ciberseguridad ayudará a reducir el error humano, pero Novak dijo que se están produciendo cambios culturales que ayudarán a los empleados a sentirse más cómodos con los autoinformes. En la simulación, el 20% de los usuarios identificaron y reportaron phishing, y el 11% de los participantes que hicieron clic en el correo electrónico también reportaron phishing.
Tendencias en infracciones de ransomware y extorsión. (Fuente: Verizon 2024 DBIR)
El ransomware, que cae bajo el paraguas de la tecnología de extorsión, en realidad está en declive.
“Lo que estamos viendo por primera vez es una disminución del ransomware puro. [bad actors] Bloquean sistemas y datos, exigen un rescate para desbloquear los sistemas e impiden que los datos sean liberados”, dijo Novak.
Los actores maliciosos ahora amenazan con atacar a las organizaciones con acciones como ataques distribuidos de denegación de servicio (DDoS), y si el objetivo no paga, los delincuentes desactivarán los sistemas de la empresa durante un período de tiempo, explicó Novak. Los piratas informáticos hacen alarde de su capacidad para derribar los sistemas de una organización y luego amenazan con hacerlo nuevamente en momentos inoportunos, como durante los lanzamientos de productos o conferencias de usuarios finales.
Entre otras técnicas utilizadas por los ciberdelincuentes, la extorsión pura está en aumento y ahora representa el 9% de todas las infracciones. En los ataques de extorsión pura, los delincuentes se dirigen específicamente a los ejecutivos y amenazan con revelar información como sus hábitos y su familia si no pagan.
“A partir de los datos que tenemos hasta ahora, sigue siendo cierto que la mayoría de los ataques tienen motivaciones financieras”, dijo Novak. “Los perpetradores seguirán encontrando otras formas de capturar los corazones de sus víctimas para extraer dinero”.
Suplantación de identidad y robo de credenciales
Según DBIR de Verizon, en los últimos dos años, aproximadamente el 25% de los ataques con motivación financiera involucraron pretextos. El pretexto es un ataque de ingeniería social en el que se atrae a una parte maliciosa creando una identidad falsa, como un familiar que pide dinero para hacer frente a una emergencia.
Además, aproximadamente un tercio de las infracciones de la última década implicaron el uso de credenciales robadas. El robo de credenciales puede ser un problema a largo plazo, dijo Novak, ya que algunas personas no cambian sus contraseñas incluso cuando saben que sus credenciales han sido robadas. Además, muchas organizaciones pequeñas todavía no utilizan la autenticación de dos factores, afirmó.
En 2024, DBIR experimentó un aumento del 68 % en las infracciones de terceros. El informe del año pasado encontró que el 15% de las infracciones involucraban a terceros, incluidos controladores de datos, vulnerabilidades de software de terceros y problemas de la cadena de suministro.
Los autores del DBIR de Verizon revisaron 30.458 incidentes de seguridad y 10.626 infracciones confirmadas para compilar el informe de 2024.
Fuente: https://www.lightreading.com/security/verizon-s-chris-novak-overcoming-security-breaches-is-survival-of-the-fastest-
