La mayor actividad cibercriminal a nivel mundial proviene de grupos de piratas informáticos asentados en Rusia y Ucrania, mientras que China alberga el mayor número de agentes con motivaciones geopolíticas. Esta es una de las principales conclusiones del informe de Netskope 'Cloud and Threat Report: Top Adversary Tactics and Techniques', centrado en analizar las técnicas y motivaciones detectadas con mayor frecuencia en ataques contra sus clientes durante los nueve primeros meses de 2023.
El informe destaca a Wizard Spider, agrupación de ciberdelincuentes de origen ruso a la que se le atribuye la creación de TrickBot, malware en constante evolución, por haber sido el grupo que ha atacado a un mayor número de organizaciones. Wizard Spider ha sido el que más ha tratado de infiltrarse en la plataforma Netskope Security Cloud de los clientes de la compañía y también ha lanzado ciberataques de ransomware a una amplia variedad de entidades. Otros colectivos de cibercriminales que recurren en gran medida al ransomware son TA505, creadores del ransomware Clop, y FIN7, que utilizó el ransomware REvil y creó el ransomware Darkside.
Si bien los grupos que más atacan a los clientes de Netskope son rusos y ucranianos, los que tienen mayor motivación geopolítica están en China. Estas bandas están lideradas por memupass (también conocido coma Cicada, POTASSIUM, Stone Panda, APT10, Red Apollo, CVNX, HOGFISH) y Aquatic Panda, las cuales se han dirigido a diferentes tipos de organizaciones en todo el mundo.
Sectores y regiones más atacadas
Según el informe, los hackers que tienen una motivación geopolítica tienden a enfocarse en regiones e industrias específicas para su propiedad intelectual, mientras que los que persiguen intereses económicos suelen desarrollar planes optimizados para apuntar a organizaciones similares, pudiendo reutilizar técnicas con una personalización mínima.
Por sectores verticales, resaltan los servicios financieros y de atención sanitaria, los principales objetivos de los grupos geopolíticos y que también están en el punto de mira de otras organizaciones de cibercriminales. De hecho, la cantidad de ataques que han lanzado contra instituciones de estos sectores no difiere mucho en ambos casos y principalmente han provenido de hackers ubicados en Rusia, China y Oriente Medio.
Los otros sectores que recoge el informe, el tecnológico, la industria manufacturera y los servicios estatales, locales y educativos (SLED), registraron menos de un 15% de actividad procedente de atacantes con incitaciones geopolíticas, mientras que el resto de las amenazas tenían un móvil financiero.
Por regiones, Australia y Norteamérica presentan el mayor porcentaje de ataques atribuibles a grupos de cibercriminales, mientras que, en otras partes del mundo, como África, Asia, Latinoamérica y Oriente Próximo, destacan las ofensivas con fines geopolíticos.
Principales técnicas
Siguiendo la información del informe de Netskope, los enlaces y archivos adjuntos de spearphishing son las técnicas más populares para el acceso inicial en lo que va de 2023. Los hackers los difunden a través de correo electrónico, mensajes de voz y texto, redes sociales y motores de búsqueda, y tienen la mayor tasa de éxito a la hora de engañar a sus víctimas para que se descarguen archivos maliciosos cuando alojan esos archivos en aplicaciones en la nube. De hecho, en lo que va de año, más de la mitad (55%) del malware que los usuarios intentaron descargar se entregó a través de aplicaciones en la nube, lo que las convierte, tal y como advierte Netskope, en el vehículo número uno para la ejecución exitosa de malware.
Otra conclusión preocupante es que durante los nueve primeros meses del 2023 el número de usuarios que ha intentado descargar un archivo adjunto de phishing desde una aplicación de correo web personal es hasta 16 veces mayor que el que ha tratado de hacerlo en aplicaciones de correo web controladas.
Claves para las organizaciones
Basándose en las técnicas descubiertas, Netskope recomienda a las organizaciones que evalúen sus defensas para determinar cómo debe evolucionar su estrategia de ciberseguridad y las insta a que tengan en cuenta que las técnicas más generalizadas contra las deben estar preparadas incluyen:
- Enlaces y archivos adjuntos de spearphishing. Implementar defensas antiphishing que vayan más allá del correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spearphishing, independientemente de dónde se originen.
- Enlaces y archivos maliciosos. Tener constancia de que los tipos de archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionan minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados.
- Protocolos web y exfiltración a través del canal C2. Detecte e impida el tráfico C2 de los adversarios a través de protocolos web utilizando un SWG y un IPS para identificar la comunicación con infraestructuras C2 conocidas y patrones C2 comunes.
"Si las organizaciones consiguen ver quiénes son sus principales adversarios y los estímulos que los motivan, entonces podrán evaluar sus defensas y preguntarse: ¿Qué protecciones tengo contra esas tácticas y técnicas? ¿Cómo me ayudará esto a afinar cuál debe ser mi estrategia defensiva? Si puedes defenderte eficazmente contra las técnicas descritas en el informe, estarás protegiéndote eficazmente contra una amplia gama de adversarios. No importa a quién te enfrentes, tendrás las defensas a punto", afirma Ray Canzanese, director de Investigación de Amenazas de Netskope Threat Labs.