Un ‘hacker’ puede lanzar un ataque en apenas hora y media

En esta edición de 2022, aborda los incidentes más significativos del pasado año en términos de ciberseguridad y de las acciones de los atacantes responsables.

Según el análisis, el tiempo que tarda un atacante en desplazarse de un dispositivo conectado a internet (host) a otro es de 1 hora y 38 minutos de media en el caso de actividades ciberdelictivas de intrusión. Por otro lado, de todas las detecciones registradas en el estudio durante el cuarto trimestre del pasado año, el 62% no estaban basadas en malware, es decir, un programa informático ejecutado sin la autorización del propietario. En lugar de recurrir al malware los atacantes están sacando partido a las credenciales legítimas y las herramientas incorporadas -un enfoque basado en los recursos que ya existen en el entorno de la víctima y que se conoce como “living off the land” (LOTL)- en un intento de evitar ser detectados por los antivirus.

Por otro lado, la actividad ciberdelictiva con fines económicos sigue siendo unas de las interacciones más dominantes. Las acciones relacionadas con la delincuencia digital en 2021 ascienden prácticamente a la mitad de la actividad (49%), mientras que las intrusiones selectivas representan el 18%. Además, el 32% de los atacantes ejecutan sus actividades escondiendo su identidad.

Incremento de ciberataques

CrowdStrike afirma que ha habido un crecimiento de los ataques en todos los sectores y en casi todas las regiones del mundo. El estudio registra un 82% de fugas de datos relacionadas con ransomware (secuestro de datos), ligado a otro tipo de fugas de datos ya que son de especial valor para los atacantes cibernéticos.

Esto ha repercutido al aumento de la vigilancia y la intervención por parte de las Administraciones y autoridades pertinentes. Las nuevas tácticas, técnicas y procedimientos (TTP) empleados en los ataques de robo de datos en 2021, como el desarrollo de herramientas de exfiltración avanzadas, sirvieron de ayuda a los atacantes para extorsionar a sus víctimas.

Las ofensivas de Irán y China

Desde finales de 2020, múltiples atacantes y colectivos ciberdelictivos del país islámico han ejecutado diversas técnicas para atacar a numerosas organizaciones de Estados Unidos, Israel y otros países de Oriente Medio y África del Norte (MENA). En 2021, estos atacantes se hicieron pasar por piratas activistas, o hacktivistas, para dirigir ataques empleando ransomware para cifrar redes y, después, filtrar información de las víctimas a través de entidades y personas controladas por los atacantes.

Gracias a la aplicación de los métodos de ransomware más tradicionales, proporcionan a Irán la capacidad de atacar a sus rivales de la región y en otros países de cara al próximo año.

Con respecto a China, los asiáticos lanzaron ataques para conseguir nuevas vulnerabilidades a gran velocidad. El estudio confirma que el aprovechamiento de esas vulnerabilidades se multiplicó en seis veces durante el transcurso de 2020 a 2021.

En 2021, los chinos se centraron en atacar a Microsoft Exchange -ahora se denominan de forma colectiva ProxyLogon y ProxyShell- para lanzar intrusiones contra numerosas organizaciones de todo el mundo.

Continuos ataques a la nube

Entre los ataques más habituales a la nube empleados por los ciberdelincuentes y los autores de intrusiones selectivas, se encuentra el aprovechamiento de vulnerabilidades de la nube, el robo de credenciales, el uso ilícito de proveedores de servicios de la nube, el uso de servicios en la nube para alojar malware y los ataques de mando y control, así como el uso ilícito de contenedores de imágenes con errores de configuración. Es una tendencia que se usa con más frecuencia para atacar a nuevas víctimas.