La mayor actividad cibercriminal proviene de Rusia, mientras que China es el país con mayor motivación geopolítica
El 55% del malware que los usuarios pretendieron descargar se distribuyó a través de aplicaciones en la nube, lo que las convierte en el vehículo número uno para la ejecución exitosa de malware
Madrid, 18 de octubre de 2023.- La mayor actividad cibercriminal proviene de Rusia, mientras que China es el país con mayor motivación geopolítica.- Netskope, líder en Secure Access Service Edge (SASE), acaba de publicar su informe Cloud and Threat Report: Top Adversary Tactics and Techniques, centrado en las técnicas y motivaciones detectadas con mayor frecuencia en los tres primeros trimestres de 2023 entre los clientes de Netskope a nivel mundial.
Sobre ello, Netskope ha observado un número significativo de adversarios criminales que intentaban infiltrarse en los entornos de los clientes, con Wizard Spider, con sede en Rusia, atacando a más organizaciones que cualquier otro grupo.
Grupos de amenazas más generalizados
Asimismo, Netskope ha descubierto que los principales grupos de delincuentes tienen su base en Rusia y Ucrania, y que los mayores agentes de amenazas geopolíticas provienen de China.
Wizard Spider, la agrupación que intenta atacar principalmente a los usuarios de la plataforma Netskope Security Cloud, es un adversario criminal al que se atribuye la creación del famoso malware TrickBot, en constante evolución. Otros colectivos activos de criminales que recurren en gran medida al ransomware son TA505, creadores del ransomware Clop, y FIN7, que utilizó el ransomware REvil y dio lugar al ransomware Darkside.
Las bandas de delincuentes con intereses geopolíticos están lideradas por memupass y Aquatic Panda. Estos adversarios -geopolíticos- se dirigen a regiones e industrias específicas por su propiedad intelectual, a diferencia de los actores con motivaciones financieras que desarrollan guías optimizadas para objetivos replicables, donde pueden reciclar tácticas y técnicas con una personalización mínima.
Amenazas verticales y regionales
Según los resultados de Netskope, los sectores verticales de servicios financieros y atención sanitaria registran un porcentaje significativamente mayor de actividad atribuible a grupos de amenazas geopolíticas. En esos verticales, casi la mitad de la acción observada procede de estos adversarios, a diferencia de las agrupaciones con motivaciones financieras. Sectores como la industria manufacturera, los servicios estatales, locales y educativos (SLED) y la tecnología presentaron menos de un 15% de actividad procedente de actores con incitaciones geopolíticas, mientras que el resto de las amenazas tenían un móvil financiero.
Desde una perspectiva regional, Australia y Norteamérica presentan el mayor porcentaje de ataques por actividad de adversarios atribuibles a grupos delictivos, mientras que, en otras partes del mundo, como África, Asia, Latinoamérica y Oriente Próximo destacan los altercados con un fin geopolítico.
Principales técnicas
Los enlaces y archivos adjuntos de spearphishing son las técnicas más populares para el acceso inicial en lo que va de 2023, y hasta agosto, los cibercriminales tuvieron tres veces más éxito en engañar a las víctimas para que descargaran archivos adjuntos de spearphishing en comparación con finales de 2022. Aunque el correo electrónico sigue siendo un canal común utilizado por estos delincuentes, la tasa de éxito es baja debido a los avanzados filtros antiphishing y a la concienciación de los usuarios. Sin embargo, los agresores han encontrado este éxito reciente utilizando cuentas de correo electrónico personales.
En lo que va de 2023, 16 veces más usuarios intentaron descargar un archivo adjunto de phishing desde una aplicación de correo web personal en comparación con las aplicaciones de correo web de organizaciones controladas. El 55% del malware que los usuarios pretendieron descargar se distribuyó a través de aplicaciones en la nube, lo que las convierte en el vehículo número uno para la ejecución exitosa de malware. La aplicación en la nube más popular en las empresas, Microsoft OneDrive, fue responsable de más de una cuarta parte de todas las descargas de malware en la nube.
«Si las organizaciones consiguen ver quiénes son sus principales adversarios y los estímulos que los motivan, entonces podrán evaluar sus defensas y preguntarse: ¿Qué protecciones tengo contra esas tácticas y técnicas? ¿Cómo me ayudará esto a afinar cuál debe ser mi estrategia defensiva?”, explica Ray Canzanese, Director de Investigación de Amenazas de Netskope Threat Labs. “Si puedes defenderte eficazmente contra las técnicas descritas en el informe, estarás protegiéndote eficazmente contra una amplia gama de adversarios. No importa a quién te enfrentes, “endrás las defensas a punto».
Puntos clave para las organizaciones
Basándose en estas técnicas descubiertas, Netskope recomienda a las organizaciones que evalúen sus defensas para determinar cómo debe evolucionar su estrategia de ciberseguridad.
Las técnicas más generalizadas contra las que las organizaciones deben estar preparadas para protegerse incluyen:
- Enlaces y archivos adjuntos de spearphishing. Implementar defensas antiphishing que vayan más allá del correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spearphishing, independientemente de dónde se originen.
- Enlaces y archivos maliciosos. Tener constancia de que los tipos de archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionan minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados.
- Protocolos web y exfiltración a través del canal C2. Detecte e impida el tráfico C2 de los adversarios a través de protocolos web utilizando un SWG y un IPS para identificar la comunicación con infraestructuras C2 conocidas y patrones C2 comunes.
Si desea descargar el Informe completo sobre la nube y las amenazas: principales tácticas y técnicas del adversario, por favor, hágalo desde aquí. Para obtener más información sobre las amenazas habilitadas en la nube y los últimos hallazgos de Netskope Threat Labs, visite Netskope’s Threat Research Hub.