De acuerdo con el último reporte trimestral de ciberamenazas de Cisco Talos, la unidad de inteligencia en ciberseguridad de Cisco, la extorsión por robos de datos fue la principal amenaza durante el segundo trimestre del año, representando el 30% de las amenazas superando a web shell y aún mayor que el ransomware.

El reporte Cisco Talos Incident Response (Talos IR) también detectó un aumento del 25% de los incidentes de extorsión por robo de datos comparado con el trimestre anterior. El aumento de dichos eventos –en comparación con trimestres anteriores– es coherente con los informes públicos, sobre un número creciente de grupos de ransomware que roban datos y extorsionan a las víctimas sin cifrar archivos ni desplegar ransomware.

El ransomware fue la segunda amenaza más observada del trimestre, que correspondió el 17% de los casos, un incremento ligero comparado con el 10% del trimestre anterior mientras que los web shells disminuyeron, pese a que fueron una amenaza en rápido aumento en el primer trimestre del año.

Principales amenazas

En un nuevo aumento en comparación con trimestres anteriores, Talos IR respondió a un creciente número de extorsión por robo de datos donde no encriptaron archivos ni implementaron ransomware. 

En este tipo de ataque los cibercriminales roban los datos de los usuarios y amenazan con filtrarlos o venderlos, a menos que la víctima pague diferentes sumas de dinero, eliminando la necesidad de implementar ransomware o cifrar datos.

Esto difiere del método ransomware de doble extorsión, mediante el cual los cibercriminales exfiltran y cifran archivos y exigen el pago para que las víctimas reciban una clave de descifrado. Es probable que llevar a cabo este tipo de ataques sea cada vez más difícil debido a la aplicación de la ley global y los esfuerzos de la industria, por lo que los actores de ransomware tienen que encontrar nuevas formas de generar ingresos.

En este trimestre la industria de cuidado de la salud se mantuvo como la más atacada, representando el 22% del total de los compromisos de respuesta a incidentes, seguido de cerca por la de servicios financieros.

Una forma como los ciberdelincuentes lograron acceso durante el trimestre fue a través de credenciales comprometidas o cuentas válidas, sumando cerca del 40% del total de redes comprometidas. Sin embargo, es difícil identificar cómo fueron comprometidas, dado que pueden ocurrir fuera de la visibilidad de la compañía en los casos de credenciales guardadas en un dispositivo personal del empleado que estaba comprometido. Estas cuentas no tenían habilitada la autenticación multifactor (MFA) o sólo la tenían en ciertas cuentas y servicios críticos, esto representa un aumento del 10% con respecto del trimestre pasado.

Por tal motivo Talos IR recomienda que las organizaciones realicen una auditoría de contraseñas en todas las cuentas de usuario y servicio para garantizar que la complejidad y la fortaleza estén alineadas con las mejores prácticas de la industria (privilegio, servicio, usuario, etc.), para evitar técnicas de enumeración o pulverización de contraseñas. Asimismo, Talos IR recomienda deshabilitar los VCA (cuentas de proveedores y contratistas) cuando no sean necesarios, así como implementar el acceso con privilegios mínimos y validar que el registro y la supervisión de la seguridad estén habilitados para este tipo de cuentas.

Talos encontró que el grupo Clop, que inició como operación de ransomware as a service (RaaS), explotó una vulnerabilidad importante en el software de transferencia de archivos MOVEit. Esto ha llevado a muchos casos de seguimiento de robos de datos con más de 200 compañías afectadas a principios de julio. Talos IR aún no ha respondido a ningún incidente relacionado con la vulnerabilidad de MOVEit, pero en un caso observó a Clop explotando una vulnerabilidad diferente en el software de transferencia de archivos GoAnywhere.

Talos IR también registró, en más de 50% de los eventos del trimestre, PowerShell, una utilidad de línea de comandos dinámica que sigue siendo una utilidad popular elegida por los cibercriminales, probablemente por razones como sigilo, conveniencia y vastas capacidades de administración de TI.

Además, Talos encontró la explotación de vulnerabilidades en aplicaciones disponibles al público en general (public facing applications). Ésta se observó en 22% de las interacciones durante el trimestre, lo cual representa una disminución significativa del 45% en comparación con el periodo pasado.

Los cibercriminales buscan nuevas formas de vulnerar las redes y no cabe duda que las organizaciones requieren un sistema de doble autenticación (MFA) como una de las medidas de seguridad a considerar en sus redes. Asimismo, las soluciones de detección y respuesta en Endpoint pueden detectar actividad maliciosa en las redes de las organizaciones y sus equipos.