Cisco Talos desvela en su informe anual la importancia de examinar el contexto y aplicar ciber-inteligencia para protegerse frente a ransomware, ATPs y malware personalizado
Talos, la división de ciber-inteligencia de Cisco, ha elaborado un informe sobre las principales ciber-amenazas registradas durante el pasado año, basado en sus herramientas de telemetría y en las respuestas frente a incidentes. Estas son las principales conclusiones:
• ‘Democratización’ del ransomware. A medida que surgían nuevos grupos de ransomware como servicio (RaaS) y otros cambiaban de marca o cerraban sus operaciones, el ransomware ha seguido siendo una amenaza especialmente relevante durante 2022, con atacantes más diversos, educación como el sector más afectado y Lockbit y Hive como el malware más activo.
• Herramientas legítimas y técnicas antiguas. Los ciber-delincuentes continúan evolucionando para utilizar los avances en defensa contra los propios defensores, aprovechando software legítimo y herramientas internas de sistemas como PowerShell. Con los esfuerzos de Microsoft para desactivar las macros, los ataques se han trasladado a otros tipos de archivos, y también han resurgido algunas técnicas más antiguas y menos sofisticadas como la actividad maliciosa USB.
• Commodity Loaders. Originalmente troyanos bancarios, los ‘commodity loaders’ han evolucionado hasta convertirse en sofisticadas amenazas con cadenas de ataque multifase. Qakbot, Emotet, IcedID y Trickbot han sido los más activos, persistiendo a pesar de los esfuerzos masivos de desmantelamiento y añadiendo nuevas características que complican su detección.
• Log4j. Casi un año después de que se descubrieran las vulnerabilidades de Log4j (librería de software de código abierto ampliamente extendida), los ciber-delincuentes siguen aprovechando los fallos de seguridad a un ritmo elevado: sólo en enero su actividad aumentó el 40%. Estos intentos de explotación son muy utilizados por actores-estado en campañas ofensivas, y seguirán representado una de las amenazas más comunes en 2023.
• Amenazas persistentes avanzadas (APTs). Rusia, China, Irán y Corea del Norte han seguido siendo los principales países emisores de ciber-campañas basadas en estas amenazas, con ataques que utilizan malware personalizado y nuevas variantes de malware ya conocido.
• El contexto geopolítico condiciona los ataques. Los defensores deben comprender las motivaciones de los ciber-delincuentes y disponer de metodologías de seguimiento e inteligencia frente a amenazas. Ucrania sigue siendo objetivo de ataques -desde robo de información hasta actividades APT-, pero también otros países proucranianos han sufrido campañas de phishing y de denegación de servicio dirigidas por grupos como Mustang Panda y Killnet.
Como señala Martin Lee, Director Técnico en Cisco Talos para EMEA, “a lo largo de la historia queda claro un tema clave: los adversarios se están adaptando a los cambios en el panorama geopolítico, a las acciones de las fuerzas de seguridad y a los esfuerzos de los defensores. Las organizaciones tendrán que seguir y abordar estos cambios de comportamiento para mantener su capacidad de resiliencia”.
Cisco (NASDAQ: CSCO) es el líder mundial en tecnología para Internet. Cisco inspira nuevas posibilidades reinventando las aplicaciones corporativas, protegiendo a las organizaciones, transformando su infraestructura y facilitando el trabajo colaborativo para avanzar hacia un futuro global e inclusivo. Descubre más en news-blogs.cisco.com/emea/es / The Network cisco.mwnewsroom.com/es/es y síguenos en twitter.com/cisco_spain y twitter.com/Cisco.
Cisco y el logotipo de Cisco son marcas comerciales o marcas registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Puede encontrarse un listado de las marcas comerciales de Cisco en www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier otra empresa.