Los ataques cibernéticos a organizaciones de atención médica, fabricación y energía se duplicaron en 2020 con respecto al año anterior, ya que los agentes de amenazas cibernéticas hicieron blanco en organizaciones que no podían permitirse el tiempo de inactividad debido a los riesgos de interrumpir los esfuerzos médicos o cadenas de suministro críticas. Así lo señala el IBM en su informe 2021 X-Force Threat Intelligence Index presentado en nuestro país.
En conferencia de prensa virtual, Francisco García, Líder de Seguridad en IBM México, destacó que los sectores de manufactura y energía fueron los más atacados en 2020, sólo superados por el sector financiero y de seguros. A esto contribuyeron los atacantes, quienes se aprovecharon del aumento de casi un 50% en las vulnerabilidades en los sistemas de control industrial (ICS), de los que tanto la fabricación como la energía dependen en gran medida.
El informe de 2021 revela que la forma más exitosa en que se accedió a los entornos de víctimas el año pasado fue escanear y explotar vulnerabilidades (35%), superando el phishing (31%), por primera vez en años.
Cabe señalar que este índice de inteligencia de amenazas X-Force se basa en conocimientos y observaciones obtenidos por el monitoreo de más de 150 mil millones de eventos de seguridad por día en más de 130 países.
Ransomware, imparable
De acuerdo con este documento, en 2020 el mundo experimentó más ataques de ransomware en comparación con 2019. Casi el 60% de los ataques de ransomware a los que X-Force respondió utilizaron una estrategia de doble extorsión en la cual los atacantes cifraban, robaban y luego amenazaban con filtrar datos, si no se pagaba el rescate. De hecho, en 2020, el 36% de las filtraciones de datos que X-Force rastreó provinieron de ataques de ransomware que también implicaban un supuesto robo de datos, lo que sugiere que las filtraciones de datos y los ataques de ransomware están comenzando a colisionar.
El grupo de ransomware más activo reportado en 2020 fue Sodinokibi (también conocido como REvil), responsable del 22% de todos los incidentes de ransomware que X-Force observó. X-Force estima que Sodinokibi robó aproximadamente 21,6 terabytes de datos de sus víctimas, casi dos tercios de las víctimas pagaron un rescate y en aproximadamente el 43% de los casos se filtraron datos. Según las estimaciones de X-Force, se calcula que ese grupo habría ganado más de USD 123 millones el año pasado.
Al igual que Sodinokibi, el informe descubrió que los grupos de ransomware más exitosos en 2020 se dedicaron también a robar y filtrar datos, así como en crear cárteles de ransomware como servicio y subcontratar aspectos clave de sus operaciones a ciberdelincuentes que se especializan en diferentes aspectos de un ataque.
En respuesta a estos ataques de ransomware más agresivos, X-Force recomienda que las organizaciones limiten el acceso a los datos confidenciales y protejan las cuentas clave con administración de acceso privilegiado (PAM) y administración de identidades y accesos (IAM).
Amenazas para los modelos cloud
García mencionó varios grupos de amenazas como APT28, APT29 y Carbanak que recurren al malware de código abierto, lo que indica que esta tendencia será un acelerador para más ataques a la nube en el presente año.
Dijo que el informe también sugiere que los atacantes están explotando la potencia de procesamiento expandible que brindan los entornos de nube, transfiriendo altos cargos por uso de la nube a las organizaciones víctimas, ya que Intezer observó más del 13% de código nuevo, previamente no observado, en el malware de criptominería de Linux en 2020.
Otros hallazgos
De acuerdo con García, otros de los hallazgos más importantes contenidos en el informe son:
- Los ciberdelincuentes aceleran el uso de malware Linux: Con un aumento del 40% en las familias de malware relacionado con Linux en el último año, según Intezer, y un aumento del 500% en el malware escrito en Go en los primeros seis meses de 2020, los atacantes están acelerando una migración a malware de Linux, que se puede ejecutar más fácilmente en varias plataformas, incluidos los entornos de nube.
- La pandemia impulsa la falsificación de marcas líderes: En un año de distanciamiento social y trabajo remoto, las marcas que ofrecen herramientas de colaboración como Google, Dropbox y Microsoft, o las de compras en línea como Amazon y PayPal, figuraron entre las 10 principales marcas falsificadas en 2020. YouTube y Facebook, las fuentes a las que más recurrieron los consumidores para la síntesis de noticias el año pasado, también encabezan la lista. Sorprendentemente, Adidas hizo su debut como la séptima marca más imitada en 2020, probablemente como consecuencia de la demanda de las líneas de zapatillas Yeezy y Superstar.
- Grupos de ransomware aprovechan un modelo de negocio rentable: El ransomware fue la causa de casi uno de cada cuatro ataques a los que respondió X-Force en 2020, que evidenciaron una evolución agresiva para incluir tácticas de doble extorsión. Con este modelo, X-Force evalúa que Sodinokibi -el grupo de ransomware más observado en 2020- tuvo un año muy rentable. X-Force estima que el grupo ganó, utilizando una estimación conservadora, más de 123 millones de dólares el año pasado y aproximadamente dos tercios de sus víctimas pagaron un rescate, según el informe.
El informe completo X-Force Threat Intelligence Index 2021 se puede consultar en la liga: https://www.ibm.biz/threatindex2021