Los autores de amenazas desplegaron cada vez más web shells y explotaron principalmente aplicaciones vulnerables o sin parches de cara al público para obtener acceso inicial durante el cuarto trimestre de 2024, un cambio notable con respecto a trimestres anteriores. La funcionalidad de los web shells y las aplicaciones web atacadas varió según los incidentes, lo que pone de relieve la multitud de formas en que los atacantes pueden aprovechar los servidores web vulnerables como puerta de entrada al entorno de una víctima. Anteriormente, el uso de cuentas válidas había sido el método de acceso inicial más observado por el equipo de Respuesta a Incidentes de Cisco Talos (Talos IR) durante más de un año.
El ransomware constituyó una parte ligeramente menor de las amenazas observadas este trimestre que en el pasado. Cabe destacar que a finales de año se produjo un aumento de incidentes de ransomware y pre-ransomware, principalmente relacionados con BlackBasta, lo que sugiere que ésta será una amenaza a tener en cuenta de cara a 2025.
En el 35 por ciento de los incidentes del cuarto trimestre, los actores de amenazas desplegaron una variedad de web shells de código abierto y disponibles públicamente contra aplicaciones web vulnerables o sin parches, un aumento significativo desde menos del 10 por ciento en el trimestre anterior.
Tendencias de ransomware
El ransomware, el pre-ransomware y la extorsión por robo de datos representaron casi el 30 por ciento de los incidentes de este trimestre, un ligero descenso con respecto al trimestre anterior, en el que estos tipos de incidentes representaron el 40 por ciento. Talos IR observó el ransomware Interlock por primera vez, al tiempo que respondía a variantes vistas anteriormente, BlackBasta y RansomHub. Talos IR pudo identificar tiempos de permanencia en la mayoría de los ataques de este trimestre, que oscilaron entre aproximadamente 17 y 44 días.
Los operadores aprovecharon cuentas válidas comprometidas en el 75 por ciento de los ataques de ransomware para obtener acceso inicial y/o ejecutar ransomware en los sistemas afectados, lo que pone de manifiesto el riesgo de los ataques basados en la identidad y la necesidad de métodos de autenticación seguros.
Tal y como se preveía en el informe de tendencias trimestrales de IR del tercer trimestre de 2024, se produjeron dos incidentes de RansomHub, en los que los afiliados aprovecharon herramientas y técnicas recién identificadas. Talos IR observó que los afiliados aprovechaban un ladrón de contraseñas de Veeam para atacar la aplicación de copia de seguridad de datos de Veeam, y KMS Auto, una herramienta diseñada para activar ilícitamente productos de Microsoft pirateados. Los operadores también utilizaron una técnica de acceso persistente nunca vista, modificando la configuración del Firewall de Windows en los hosts objetivo para permitir el acceso remoto. Esta actividad se produjo poco antes de que se ejecutara el ransomware, posiblemente como método para mantener el acceso directo a los sistemas comprometidos.
Talos IR observó que los operadores utilizaban herramientas de acceso remoto en el 100 % de los ataques de ransomware, un aumento significativo con respecto al periodo anterior, cuando sólo se observó en el 13 % de los ataques de ransomware o pre-ransomware. El software comercial de escritorio remoto Splashtop, en particular, estuvo involucrado en el 75 % de los ataques de ransomware de este trimestre, y otras herramientas de acceso remoto observadas incluyeron Atera, Netop, AnyDesk y LogMeIn. En al menos el 50 % de los ataques, estas herramientas se utilizaron para facilitar el movimiento lateral, ya que los actores utilizaron este acceso remoto para pivotar a otros sistemas en el entorno.
De cara al futuro: Talos IR detectó el ransomware BlackBasta en un ataque que se cerró el último trimestre de 2024, así como en una serie de compromisos que se iniciaron cerca de finales de año. En la cadena de ataque observada, los operadores de BlackBasta se hacen pasar por personal de TI para llevar a cabo ataques de doble extorsión, que implican la exfiltración de información sensible que luego se encripta para presionar a las víctimas a pagar. Las observaciones y los correspondientes informes públicos sobre el reciente repunte de actividad del grupo desde diciembre indican que se trata de una amenaza de ransomware a tener en cuenta en el nuevo año.
Segmentación
Las organizaciones del sector de la educación fueron las más afectadas por segundo trimestre consecutivo, representando casi el 30 % de las interacciones. Esto también concuerda con las tendencias de segmentación de Talos IR Q1 2024 (enero-marzo), donde el sector de la educación quedó empatado en el primer puesto de los sectores verticales más atacados.
Acceso inicial
Por primera vez en más de un año, el medio más observado para obtener acceso inicial fue la explotación de aplicaciones de cara al público, lo que representa casi el 40 por ciento de los ataques cuando se pudo determinar el acceso inicial. Esto supone un cambio significativo en comparación con trimestres anteriores, en los que el uso de cuentas válidas fue sistemáticamente una de las principales técnicas observadas para el acceso inicial. Aunque seguimos observando que los adversarios aprovechan las credenciales comprometidas y las cuentas válidas para obtener acceso, este cambio se debe probablemente en gran medida al número de incidentes de web shell y ransomware que se aprovecharon de aplicaciones mal parcheadas o expuestas públicamente.
Perspectivas: Desde principios de diciembre de 2024, Talos IR ha observado un aumento de los ataques de difusión de contraseñas, que provocan bloqueos de cuentas de usuario y deniegan el acceso a la VPN. Estos ataques se caracterizan a menudo por grandes volúmenes de tráfico. Por ejemplo, una organización informó de que se habían realizado casi 13 millones de intentos en 24 horas contra cuentas conocidas, lo que indica que el adversario probablemente estaba ejecutando ataques automatizados. Esta actividad afectó principalmente a organizaciones del sector de la administración pública y probablemente fue aleatoria y oportunista. Aunque los adversarios llevan años utilizando ataques de difusión de contraseñas para acceder a credenciales, el gran volumen de intentos de autenticación en rápida sucesión es un recordatorio de que las organizaciones deben seguir haciendo hincapié en la importancia de la autenticación multifactor (MFA) y de las políticas de contraseñas seguras para limitar los intentos de acceso no autorizados.
Recomendaciones para abordar las principales deficiencias de seguridad
Implementar MFA y otras soluciones de control de identidad y acceso
Talos IR recomienda garantizar que la MFA se aplique en todos los servicios críticos, incluidos todos los servicios de acceso remoto y de gestión de identidades y accesos (IAM). Además, para defenderse de la elusión de la MFA mediante ingeniería social, en la que un usuario legítimo acepta las indicaciones, la formación periódica en materia de ciberseguridad debe abarcar temas relevantes y actualizados sobre ingeniería social.
Talos IR también recomienda a las organizaciones que se aseguren de que todos los sistemas operativos y software del entorno estén actualmente soportados y reemplacen aquellos que hayan llegado al final de su vida útil. El software sin parches y/o vulnerable contribuyó a facilitar el acceso inicial en varios incidentes este trimestre, y casi el 15 por ciento de los incidentes se debieron a software obsoleto y al final de su vida útil.
Implementar una solución endpoint detection and response (EDR) correctamente configurada
Implementar EDR y otras soluciones de seguridad correctamente configuradas. Si una organización carece de los recursos para implementar con éxito estas soluciones, puede considerar la posibilidad de subcontratar a un proveedor de extended detection and response (XDR) gestionado para garantizar una configuración adecuada y una supervisión ininterrumpida por parte de expertos en seguridad.
Las soluciones EDR mal configuradas o inexistentes afectaron a más del 25 % de todos los incidentes del trimestre.
