Hi-Tech Crime Trends 2022/2023: Amenazas cibernéticas camufladas: ransomware desenfrenado, corredores de acceso inicial sin gloria, ladrones furtivos principales tendencias de amenazas.
Group-IB, líder mundial en ciberseguridad con sede en Singapur, ha publicado hoy su nuevo informe Hi-Tech Crime Trends 2022/2023, la última edición del resumen anual de la empresa sobre los ciberataques mundiales más pertinentes.
En el informe, los analistas de Group-IB Threat Intelligence revelan cómo las operaciones de ransomware siguieron siendo la principal amenaza cibernética para las empresas y organizaciones de todo el mundo entre el segundo semestre de 2021 y el primer semestre de 2022.
Según la investigación de Group-IB, la cantidad de empresas que cargaron su información en los sitios de fuga dedicados (DLS) entre el segundo semestre de 2021 y el primer semestre de 2022 aumentaron un 22 % interanual a 2886.
Lo que corresponde a ocho empresas que tienen sus datos filtrados en línea todos los días.
Uno de los factores impulsores de esta tendencia es el impacto cada vez mayor de los programas de afiliados, también conocido como modelo de ransomware como servicio (RaaS).
Durante el año pasado, hemos visto que las demandas de rescate de los ciberdelincuentes que operan de acuerdo con el marco RaaS aumentaron significativamente durante el año pasado.
Por segundo año consecutivo, los investigadores de Group-IB observaron el creciente impacto de los intermediarios de acceso inicial (IAB) en el mercado de ransomware.
Los investigadores de Group-IB detectaron 2348 instancias de acceso corporativo vendido en foros de la web oscura o de forma privada por IAB, el doble en comparación con el período anterior.
El número de corredores también creció de 262 a 380 durante este período, lo que provocó una caída en los precios.
El precio promedio de un acceso cayó alrededor de un 50 % a $2800, lo que hizo que los ataques de bandas de ransomware y otros actores de amenazas fueran más asequibles.
El mayor número de ofertas junto con el precio promedio reducido redujo ligeramente el tamaño del mercado de acceso inicial en un 8,5% a $ 6,555,332.
Las redes estadounidenses y las empresas manufactureras se convirtieron en los lotes más buscados.
Las cuentas RDP (36 %) y VPN (37 %) comprometidas se convirtieron en los tipos de acceso que se ofrecen a la venta con mayor frecuencia, según la última edición del informe anual Hi-Tech Crime Trends de Group-IB.
Por undécimo año consecutivo, el informe Hi-Tech Crime Trends analiza los diversos aspectos de las operaciones de la industria ciberdelincuente.
Examina los ataques y brinda pronósticos del panorama de amenazas para varios sectores, como la industria financiera, las telecomunicaciones, la fabricación y la energía.
Group-IB presenta una descripción general completa del panorama global de amenazas y nuestros investigadores comparten sus predicciones sobre lo que se avecina.
La experiencia práctica de Group-IB en la investigación del delito cibernético, así como su innovador conjunto de productos y servicios.
Ayudan a describir todas las tendencias y actividades clandestinas que vale la pena observar e incluso hacen predicciones a largo plazo que ayudan a los equipos de seguridad cibernética de todo el mundo a adaptar sus ciberataques. defensa.
Apetito voraz
Durante el período comprendido entre el segundo semestre de 2021 y el primer semestre de 2022, la unidad Threat Intelligence de Group-IB analizó anuncios clandestinos.
Los cuales describían redes comprometidas y detectó 2348 instancias de acceso corporativo que se ofrecían a la venta, el doble que durante el período anterior (1099 ofertas de acceso).
Entre estas, 2.111 ofertas contenían información sobre el país y 1.532 especificaban la industria de la víctima.
Los corredores de acceso inicial han ampliado significativamente su presencia en todo el mundo.
La cantidad de países en los que irrumpieron en las redes corporativas aumentó en un 41 %: de 68 a 96 durante el segundo semestre de 2021 y el primer semestre de 2022.
Al igual que el año pasado, las empresas con sede en EE. UU. fueron el producto más popular entre los corredores de acceso inicial, con casi una cuarta parte de todas las ofertas de acceso descubiertas relacionadas con empresas estadounidenses (558).
De manera similar al año pasado, las industrias más afectadas por las IAB fueron la manufactura (5,8% de todas las empresas), los servicios financieros (5,1%), los bienes raíces (4,6%) y la educación (4,2%).
“Los corredores de acceso inicial desempeñan el papel de productores de petróleo para toda la economía clandestina”, dice Dmitry Volkov, director ejecutivo de Group-IB.
“Alimentan y facilitan las operaciones de otros delincuentes, como el ransomware y los adversarios del estado-nación.
A medida que las ventas de acceso continúan creciendo y diversificándose, los IAB son una de las principales amenazas a tener en cuenta en 2023.
Las empresas públicas y privadas deberían considerar establecer un programa de inteligencia de amenazas para monitorear las credenciales comprometidas de su fuerza laboral”.
Por primera vez, los investigadores de Group-IB recopilaron información sobre los tipos y derechos de acceso que se ofrecen en los foros de la dark web.
Identificaron un total de 1.757 ofertas con información sobre el tipo de acceso y 1.329 anuncios con información sobre privilegios.
En general, el 70% de los tipos de acceso puestos a la venta fueron cuentas RDP y VPN, lo que subraya la importancia de tener un inventario de activos digitales actualizado.
El acceso con derechos de administrador (administradores locales en el caso de Active Directory) fue el más ofrecido, representando el 47% de todos los anuncios.
En el 0,5 % de los casos analizados, los ciberdelincuentes pudieron obtener derechos de administrador empresarial todopoderosos.
Además de los foros de la web oscura, los IAB también compran y venden acceso a mercados clandestinos, que son plataformas automatizadas para negociar cualquier tipo de datos.
Incluidos detalles de tarjetas bancarias, acceso a cuentas personales y corporativas, RDP, acceso a servidores y paneles de administración de sitios web.
Durante el período de revisión, Group-IB detectó más de 290 000 shells web y 65 000 instancias de acceso RDP vendidos en mercados ciberdelincuentes.
Los shells web son scripts maliciosos que permiten a los ciberdelincuentes mantener un acceso persistente a los servidores web comprometidos.
Una de las plataformas clandestinas más populares para vender web shells tuvo más de 6000 web shells relacionados con empresas españolas puestas a la venta entre el segundo semestre de 2021 y el primer semestre de 2022, seguida de Rusia (2670), Alemania (2290), India (1823) y Francia (1.239).
En 2021, el 47 % de todos los ataques de ransomware investigados por el equipo de análisis forense digital y respuesta a incidentes de Group-IB.
Comenzaron con la explotación de servidores de protocolo de escritorio remoto orientados al público (un protocolo para usar una computadora de forma remota).
La unidad de Threat Intelligence de la empresa detectó más de 65 000 instancias de acceso RDP puestos a la venta en mercados clandestinos.
Robando el protagonismo
Uno de los cambios más notables en el mercado de IAB es la creciente popularidad de los registros obtenidos con el uso de ladrones de información: malware que recopila datos personales de los metadatos del navegador de la víctima.
Estos ladrones pueden obtener credenciales, tarjetas bancarias, cookies, huellas digitales del navegador, etc. Group-IB descubrió que entre el 1 de julio de 2021 y el 30 de junio de 2022, se ofrecieron a la venta más de 96 millones de registros.
La mayoría de los datos comprometidos provienen de EE. UU. usuarios (80%), con el Reino Unido (5,4%), India (4,6%), Indonesia (2,35%) y Brasil (1,98%) a la zaga.
Los expertos de Group-IB descubrieron más de 400 000 registros de inicio de sesión único entre estos 96 millones.
SSO es un método de autenticación corporativa ampliamente utilizado que utiliza un solo par de credenciales para acceder a múltiples servicios, lo que los hace muy buscados por los ciberdelincuentes, ya que les permite ingresar a varios sistemas a la vez con poco esfuerzo.
Como descubrieron los investigadores de Group-IB, el actor de amenazas detrás del reciente ataque a Uber compró registros de ladrones en uno de los mercados clandestinos por $ 20.
Estos registros contenían credenciales SSO de al menos dos empleados de Uber.
“Es bastante preocupante lo que un ciberdelincuente con $20 y habilidades técnicas modestas es capaz de hacer en estos días”, dice Dmitry Volkov, director ejecutivo de Group-IB.
“Con el trabajo remoto y los servicios SSO cada vez más frecuentes, las instancias de acceso a las redes corporativas comenzaron a aparecer en los registros de ladrones con más frecuencia.
Los ataques a las empresas a través de sus empleados se convertirán en uno de los principales vectores de infección.
No existe una bala de plata contra tales ataques
La tendencia destaca la necesidad de que las empresas mejoren su seguridad cibernética en todas las capas, incluida la capacitación de los empleados para responder a la ingeniería social, mejorar las capacidades de detección y respuesta.
Por supuesto, monitorear la clandestinidad ciberdelincuente en busca de registros de empleados comprometidos y ofertas para vender acceso a sus redes. .”
Un rescate del diablo
En todo el mundo, la información, los archivos y los datos de 2886 empresas se publicaron en ransomware DLS entre el segundo semestre de 2021.
El primer semestre de 2022, un aumento del 22 % en comparación con las 2371 empresas afectadas durante el período anterior (segundo semestre de 2020 – primer semestre de 2021).
Vale la pena señalar que se cree que la cantidad real de ataques de ransomware es significativamente mayor, ya que muchas víctimas optaron por pagar el rescate y algunas pandillas de ransomware no usan DLS.
Al igual que el año anterior, la cantidad de filtraciones de datos relacionadas con ransomware alcanzó su punto máximo en el último trimestre de 2021, cuando los datos de 881 empresas se compartieron en sitios de filtraciones dedicados.
“Vale la pena señalar que la cantidad de víctimas cuyos datos se publicaron a raíz de los ataques de ransomware en el segundo semestre de 2020 y el primer semestre de 2021 aumentó en un 935 % con respecto al año anterior.
Como resultado, el crecimiento interanual del 22 % observado en el período observado sugiere que el mercado de ransomware como servicio ha superado la fase de rápido crecimiento y ahora está comenzando a estabilizarse”, dice Dmitry Volkov, director ejecutivo de Grupo-IB.
Los analistas de Group-IB también pudieron descubrir que las empresas con sede en América del Norte (54,5 % de las empresas cuyos datos fueron filtrados por bandas de ransomware) y Europa (29,7 %) fueron las más afectadas.
Cuando se tienen en cuenta los datos de empresas en países individuales, parece que las pandillas de ransomware eran especialmente aficionadas a apuntar a empresas en los Estados Unidos.
Un total de 1237 empresas con sede en EE. UU. (43 % del total mundial) publicaron sus datos en DLS en el segundo semestre de 2021 y el primer semestre de 2022.
Completan los cinco países más afectados Alemania (147 empresas), Reino Unido (138) , Canadá (128) e Italia (124).
El análisis de Group-IB de la amenaza que representan las pandillas de ransomware también reveló que, a nivel mundial, el número más grande
El número de víctimas de fugas de datos relacionadas con ransomware se encontró en los siguientes sectores: manufactura (295 empresas), bienes raíces (291), servicios profesionales (226) e industrias de transporte (224).
En el período del informe, la cantidad de ataques de ransomware contra empresas del sector manufacturero en todo el mundo aumentó un 19 % en comparación con el período anterior (2S 2020-1S 2021) a 295.
Se observaron aumentos similares en la industria energética (43 % a 80 ), organizaciones financieras (un 43 % más hasta 181) y el sector de TI (un 18 % más hasta 120).
Curiosamente, los ataques a las empresas de telecomunicaciones cayeron un 15 % interanual hasta los 29.
En lo que respecta a los grupos de ciberdelincuentes que llevan a cabo ataques de ransomware, hubo algunos nombres familiares atribuidos a las filtraciones de datos registradas en el segundo semestre de 2021 – primer semestre de 2022.
El primero de la tabla fue Lockbit
El cual aumentó su actividad durante este período
Group-IB pudo atribuir 889 ataques de ransomware a este grupo, lo que los hace responsables del 30,8 % de todos los ataques registrados.
Al hacerlo, ocuparon el lugar de Conti como el grupo de ransomware más activo.
Conti, un grupo de ransomware de habla rusa ahora disuelto que lanzó la devastadora campaña ARMattack a fines de 2021, estuvo vinculado a 420, o el 14,6 % de los ataques de ransomware registrados en el segundo semestre de 2021 – primer semestre de 2022.
El tercero en esta lista es Hive
Como informó Group-IB en diciembre de 2021, Hive opera bajo el modelo RaaS y ha crecido increíblemente después de irrumpir en escena a principios de ese año.
En total, Hive estuvo vinculado a 146, o el 5,1 % de los ataques de ransomware en todo el mundo.
Figura 4: Fugas de datos relacionadas con ransomware entre el segundo semestre de 2021 y el primer semestre de 2022 por actor de amenazas
Junto con los IAB, muchas pandillas de ransomware todavía usan malware, como los bots Emotet, Qakbot e IcedID para obtener acceso inicial.
A partir de ahí, Cobalt Strike sigue siendo una herramienta clave en la caja de herramientas de los ciberdelincuentes. Según el análisis de Group-IB, Cobalt Strike se utilizó en casi el 60 % de los ataques analizados entre el segundo semestre de 2021 y el primer semestre de 2022.
Esta tendencia podría cambiar en el próximo período de informe, ya que los analistas de Group-IB señalaron que los atacantes han comenzado a usar un nuevo post- framework de explotación, denominado Brute Ratel, desde marzo de 2022.
A lo largo del período del informe, los expertos de Group-IB detectaron 20 nuevos programas afiliados de ransomware que se estaban discutiendo en los foros de la web oscura, uno menos que el año anterior, incluidos Hive, ALPHV y Avos.
Después de que los foros de la web oscura Exploit y XSS prohibieran la publicidad de programas de afiliados, muchas bandas de ciberdelincuentes ahora reclutan en RAMP, y Group-IB descubrió 12 nuevos anuncios de RaaS en este foro en el período estudiado.
Además, Group-IB encontró más de 20 anuncios encubiertos en los que las pandillas de ransomware mencionaron que solo buscaban pentesters con conocimiento de Cobalt Strike y Metasploit, lo que destaca una intensificación significativa del reclutamiento entre los grupos RaaS.
“Es probable que el ransomware siga siendo la principal amenaza para las empresas y los gobiernos de todo el mundo en 2023.
Las pandillas de ransomware han podido crear un mercado estable para sus empresas criminales, y las demandas de rescate emitidas a las empresas una vez que han sido atacadas continúan aumentando rápidamente.
Muchas de las bandas de ransomware más destacadas se han convertido en nuevas empresas criminales.
Tienen una jerarquía rígida y bonificaciones por superación.
Si bien las tendencias de crecimiento pueden disminuir, es probable que el mercado de ransomware se consolide aún más, continuando una tendencia observada en el segundo semestre de 2021 – primer semestre de 2022”, dijo Dmitry Volkov, director ejecutivo de Group-IB.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en
Netskope: «la» plataforma de redes y seguridad de SASE 2023
Confianza Digital: 4 áreas clave para medir el éxito
Ciberseguridad Corporativa 2023: lo que viene
Fatiga por alertas: el impacto en la seguridad en la nube 2023
ISO 27001: arranca el año y hay que revisar la planificación
Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023,
Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023,
Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023, Hi-Tech Crime Trends 2022/2023,