Esta última edición del Índice Anual de Inteligencia de Amenazas X-Force detalla que, en 2021, los actores de ransomware intentaron "fracturar" la columna vertebral de las cadenas de suministro mundiales con acciones contra la industria manufacturera, que fue la más atacada (23%), destronando así a los servicios financieros y al sector de los seguros, que se habían mantenido como los más atacados los últimos años. Al experimentar más ataques de ransomware que cualquier otra industria, los atacantes apostaron por el efecto dominó que causaría la interrupción de las empresas manufactureras en sus cadenas de suministro derivadas para presionarlas y conseguir el pago de rescates. Es destacable que un alarmante 47% de los ataques a este sector se debió a vulnerabilidades que las compañías atacadas aún no habían parcheado o no habían podido parchear; esto pone una vez más de manifiesto lo necesario que es que las organizaciones den prioridad a la gestión de sus vulnerabilidades.
El Índice de Inteligencia de Amenazas de IBM Security X-Force de 2022 traza las nuevas tendencias y patrones de ataque que IBM Security ha observado y analizado a partir de miles de millones de datapoints, que van desde los dispositivos de detección de redes y endpoints, a los compromisos de respuesta a incidentes, el seguimiento de kits de phishing y otros, incluyendo datos proporcionados por Intezer.
Algunos de los aspectos más destacados del informe de este año son:
"Los ciberdelincuentes suelen perseguir el dinero. Ahora, con el ransomware, buscan ganar poder", ha afirmado Charles Henderson, director de IBM X-Force. "Las empresas deben reconocer que las vulnerabilidades las mantienen en un punto muerto, ya que los actores de ransomware las utilizan a su favor. Se trata de un reto no binario. La superficie de ataque no hace más que crecer, por lo que, en lugar de operar bajo el supuesto de que cada vulnerabilidad en su entorno ha sido parcheada, las empresas deben operar bajo una suposición de riesgo continuo y mejorar su gestión de vulnerabilidades con una estrategia de Zero Trust".
Por su parte, The Charter Of Trust, una iniciativa global destinada a promover los estándares de seguridad y la colaboración intersectorial en ciberseguridad, ha acogido con satisfacción el informe y ha afirmado: "Casi la mitad de los ataques cibernéticos observados por IBM en Europa han estado causados por la explosión de vulnerabilidades durante el año pasado. Por ello, es más importante que nunca para la industria y la política fortalecer su ecosistema de intercambio de inteligencia sobre amenazas, aumentar la estandarización y compartir conocimientos para evolucionar y mejorar las defensas de las organizaciones contra las nuevas ciberamenazas”.
Las "nueve vidas" de los grupos de ‘ransomware’
En respuesta a la reciente aceleración de los desmantelamientos de ransomware por parte de las Fuerzas y Cuerpos de Seguridad, estos grupos pueden estar activando sus propios planes de recuperación y resiliencia. El análisis de X-Force revela que la vida media de un grupo de ransomware antes de que sea detenido o cambie de marca es de 17 meses. Pero eso es la media, REvil, quien fuera responsable del 37% de todos los ataques de ransomware de 2021, ha estado sobreviviendo durante cuatro años cambiando de marca, lo que sugiere que no sería descartable que resurja de nuevo tras haber sido desmantelado a mediados de 2021 en una operación internacional.
Si bien la acción de las Fuerzas y Cuerpos de Seguridad puede frenar a los ciberdelincuentes, éstos también están sufriendo la presión derivada de los gastos que requieren sus cambios de marca o la reconstrucción de sus infraestructuras.
En cualquier caso, y teniendo en cuenta que las amenazas continúan, a medida que cambia el campo de juego es importante que las compañías y organizaciones modernicen sus infraestructuras para mantener sus datos en un entorno que pueda ayudar a salvaguardarlos, ya sea en sus propias instalaciones o en la nube. Esto puede ayudar a las empresas a gestionar, controlar y proteger sus cargas de trabajo, así como a eliminar la ventaja de los delincuentes en caso de peligro, dificultando el acceso a datos críticos en entornos de nube híbrida.
Las vulnerabilidades se convierten en una crisis existencial para algunos
Esta edición del informe de X-Force destaca el número récord de vulnerabilidades reveladas en 2021, con un aumento del 50% interanual en los Sistemas de Control Industrial. Aunque en la última década se han detectado más de 146.000 vulnerabilidades, hasta estos últimos años las organizaciones no han acelerado su transformación digital y lo han hecho impulsadas, en gran medida, por la pandemia, lo que sugiere que el reto de la gestión de las vulnerabilidades aún no ha alcanzado su punto óptimo.
Al mismo tiempo, cada vez resulta más habitual la explotación de las vulnerabilidades como método de ataque: X-Force ha detectado un aumento del 33% desde el año anterior. Es reseñable que las dos vulnerabilidades más explotadas en 2021 se encontraron en aplicaciones empresariales muy utilizadas, como son Microsoft Exchange y Apache Log4J Library. El desafío de las empresas para gestionar estas vulnerabilidades puede seguir agravándose a medida que se expanden las infraestructuras digitales y las empresas corren el riesgo de verse abrumadas por los requisitos de auditoría y mantenimiento. Esto vuelve a poner de manifiesto la importancia de que las compañías trabajen sobre la hipótesis permanente de amenaza y apliquen una estrategia de Zero Trust para ayudar a proteger su arquitectura.
Los atacantes apuntan a terrenos comunes entre las nubes
Otro elemento que destaca el informe X-Force es que en 2021 hubo un mayor número de ataques contra contenedores como Docker, que es, con mucho, el motor de ejecución de contenedores más dominante, de acuerdo con RedHat. Los atacantes se han dado cuenta de que los contenedores son un terreno común entre las organizaciones, por lo que están duplicando las formas de maximizar su ROI con malware capaz de cruzar plataformas que usan como cabeza de puente para acceder a otros componentes de la infraestructura de sus víctimas.
El informe de 2022 también advierte de que los atacantes invierten de forma continua en malware único, y hasta ahora inédito, para Linux. Los datos proporcionados por Intezer revelan un aumento del 146% en el ransomware de Linux que tiene código nuevo. Mientras los atacantes siguen buscando formas de escalar sus operaciones a través de los entornos de nube, las empresas deben centrarse en ampliar la visibilidad de su infraestructura híbrida. Los entornos de nube híbrida que se basan en la interoperabilidad y los estándares abiertos pueden ayudar a las organizaciones a detectar puntos ciegos y así acelerar y automatizar las respuestas de seguridad.
Otros hallazgos adicionales del informe de 2022 a destacar son:
El informe presenta datos que IBM recopiló a nivel mundial en 2021 para ofrecer información detallada sobre el panorama de amenazas globales e informar a los profesionales de la seguridad sobre las amenazas más relevantes para sus organizaciones.