Por Derek Manky, Chief of Security Insights, Global Threat Alliances en Fortinet 

La transformación digital trae consigo múltiples ventajas, como una mayor eficiencia empresarial, ahorro de costes y acceso a los empleados para trabajar desde cualquier lugar (WFA). Pero estos cambios también abren las puertas a los ciberdelincuentes, que ahora disponen de más superficies de ataque que nunca para ejecutar ataques más complejos y destructivos, lo que provoca un impacto más generalizado.  

Mientras tanto, el panorama de las amenazas también está convergiendo. Las tendencias recientes de los ataques muestran una evolución de los ciberdelincuentes que "toman prestados" y convergen modelos que tradicionalmente sólo se veían entre los grupos de amenazas persistentes avanzadas (APT).  

Desde nuestro equipo de inteligencia de amenazas, FortiGuard, hemos observado que mientras que un atacante tradicional puede utilizar métodos sencillos para infiltrarse en una red, como desplegar un troyano o un malware, los atacantes de APT utilizan técnicas más avanzadas como tácticas de espionaje elaboradas durante un período más largo que involucran a múltiples actores en una organización para lograr un objetivo específico, como sobrepasar los firewalls de esa empresa. 

La realidad es que una organización de cualquier tamaño puede ser un objetivo, pero los ataques APT de alto perfil se han dirigido históricamente a empresas relevantes, figuras públicas o gobiernos. Sin embargo, los ataques de tipo APT -es decir, más tipos de ataques convergentes- están aumentando, y lo que es preocupante es que los llevan a cabo los grupos tradicionales de ciberdelincuentes. 

El malware Wiper es un excelente ejemplo de la convergencia entre la actividad de tipo APT y la ciberdelincuencia general. Los wipers son una táctica que suelen utilizar los estados nación, mientras que los grupos de ciberdelincuencia tradicionales suelen usar tipos de malware cómo ransomware.  

Wiper no es nuevo -el primer caso apareció en 2012-, pero estamos viendo una tendencia creciente de los ciberdelincuentes a utilizar estas técnicas de ataque más destructivas y sofisticadas y a hacerlo en entornos de OT. En los primeros seis meses de 2022, hemos observado al menos ocho nuevas variantes de wiper significativas - WhisperGate, HermeticWiper, AcidRain, IsaacWiper, DesertBlade - utilizadas en diversas campañas dirigidas contra organizaciones gubernamentales, militares y privadas. Es decir, la misma cantidad de variantes de wiper que se han detectado en los últimos 10 años.  

Tendencias emergentes: Playbooks dirigidos, más destrucción, tácticas más sigilosas 

Además de la convergencia de los tipos de amenazas en los que se basan los atacantes para lograr sus nuevos y más destructivos objetivos, también estamos viendo que los playbooks de los ataques son cada vez más dirigidos. Esta tendencia es especialmente evidente cuando observamos la actividad del ransomware. De hecho, según una encuesta reciente, el 85% de las organizaciones están más preocupadas por un ataque de ransomware que por cualquier otra ciberamenaza 

Y los atacantes son cada vez más sigilosos, ya que buscan pasar por debajo del radar de una organización. En los últimos seis meses, hemos observado que la evasión de la defensa es la principal táctica empleada por los desarrolladores de malware. Ocultar las intenciones maliciosas es una de las habilidades esenciales que deben dominar los desarrolladores de malware, por lo que tiene sentido que intenten conseguirlo ocultando comandos para evadir las defensas de una empresa.  

A medida que las amenazas persistentes avanzadas comienzan a converger con la ciberdelincuencia general, estos se centran cada vez más en intentar evadir la seguridad, la detección, la inteligencia y los controles. Dedican más tiempo al reconocimiento y a encontrar formas de convertir en armas las nuevas tecnologías. 

Como todos los retos de seguridad, no hay una solución única o una solución rápida para proteger a una organización contra este tipo de actividad. Sin embargo, una de las mejores medidas de protección que puede tomar es la creación proactiva de detecciones basadas en el comportamiento a partir de inteligencia de amenazas actualizada y en tiempo real. Las organizaciones estarán mejor posicionadas para protegerse contra los amplios conjuntos de herramientas de los adversarios armados con esta inteligencia procesable. Las plataformas de ciberseguridad integradas e impulsadas por IA y ML con capacidades avanzadas de detección y respuesta impulsadas por la inteligencia de amenazas procesable son importantes para proteger todos los perímetros de las redes híbridas. 

La gestión de un conjunto de amenazas, tácticas y técnicas en constante evolución, a menudo puede verse como nadar en mar abierto. No se puede tocar el fondo y no se sabe cuándo pasará el próximo barco. Pero cuanto más conscientes seamos de nuestro entorno y tomemos medidas para proteger a nuestra organización de ellas, mejor preparados estaremos cuando empiece a formarse la próxima tormenta.