Los piratas informáticos sofistican sus tácticas mediante la multiplataforma

Los pagos de las víctimas de ransomware se redujeron durante el 2022 en un 38%. Una tendencia a la baja que ha propiciado que los piratas informáticos opten por adoptar nuevas tácticas más profesionales y corporativas para garantizar mayores ganancias. Así lo refrenda el informe anual de ciberseguridad desarrollado por Trend Micro. Muchos grupos de ransomware han estructurado sus organizaciones para operar como negocios legítimos, lo que incluye aprovechar las redes establecidas y ofrecer soporte técnico a las víctimas. En este sentido, revela la multinacional japonesa, hay un nivel creciente de profesionalismo de estos grupos y una mayor adopción de tácticas comerciales más sofisticadas. Por ejemplo, “el ransomware LockBit existe desde hace un par de años; sin embargo, ahora estamos viendo su versión 3.0. Comenzaron su programa de recompensas por errores”, defiende Vijendra Katiyar, directora general en Trend Micro para India. 

Por lo general, los programas de recompensas por errores están a cargo de empresas que invitan a los piratas informáticos éticos a identificar vulnerabilidades en su software y les informan a cambio de una recompensa. “Con los grupos de ransomware, se convierte en una plataforma para que los piratas informáticos o los ciberdelincuentes muestren su talento y descubran nuevo malware para implementar”, dijo Katiyar. 

Cambio a Rust para atacar a Linux

Grupos de ransomware como Agenda, BlackCat, Hive y RansomExx también han desarrollado versiones de su ransomware en el lenguaje de programación Rust. "Este lenguaje multiplataforma permite a los grupos personalizar el malware para sistemas operativos como Windows y Linux, muy utilizados por las empresas", afirma Trend Micro. Esto podría atribuirse al hecho de que el foco de atención de los ciberdelincuentes se ha desplazado de Microsoft Windows a MacOS y Linux, ya que Microsoft bloqueó las macros en los documentos de Office. El uso de Rust hace que sea más fácil atacar a Linux y más difícil para los motores antivirus analizar y detectar el malware, lo que lo hace más atractivo para los actores de amenazas. En este sentido Katiyar defiende que se ha producido un aumento del 6% en los ataques a Linux y MacOS.

Alternativas maliciosas a las macros

A finales de 2022, los investigadores también identificaron una lista de marcas y aplicaciones populares cuyas palabras clave fueron secuestradas para mostrar anuncios maliciosos, un caso de malvertising. "Por ejemplo, una búsqueda en Google de "Adobe Reader" mostrará un anuncio que lleva a un sitio malicioso", revela Trend Micro en su informe. Los ciberdelincuentes abusaron más de los sistemas y herramientas válidos en 2022. En concreto, las herramientas legítimas de pentesting Cobalt Strike y Brute Ratel se utilizaron en ataques maliciosos. El movimiento de Microsoft sobre las macros también provocó un cambio en términos de vulnerabilidades. Los investigadores observaron que se había pasado de explotar las vulnerabilidades y exposiciones comunes (CVE) de los productos de Microsoft a explotar las CVE de Log4J19.

Las plataformas en la nube sin servidor siguen planteando problemas

Otra tendencia observada por el investigador fue que a medida que los proveedores de servicios en la nube utilizan más plataformas sin servidor, aumentan los casos de configuración errónea. "La mala configuración es un problema importante en la nube. También observamos que los desarrolladores prestan poca atención a la seguridad, especialmente cuando utilizan scripts de GitHub", dijo Katiyar.

Los servicios de computación sin servidor están siendo utilizados por las empresas para supervisar procesos complejos y albergar información integral para las operaciones empresariales. Manejan y gestionan secretos, así como datos sensibles. Los investigadores observaron que las configuraciones por defecto en los servicios en la nube no son las mejores opciones desde el punto de vista de la seguridad. "Los usuarios deben buscar soluciones que impliquen el endurecimiento de un sistema operativo y ver cómo los pasos de seguridad también deben seguirse en el mundo sin servidores", asegura Trend Micro en el informe.

Los parches también son una preocupación importante. El año pasado, Trend Micro envió 1.700 avisos sobre vulnerabilidades. A medida que hay más y más servicios en la nube, y que las empresas hacen más uso de estos servicios, aumentan el riesgo de introducir una nueva vulnerabilidad. "Deben aprovecharse los controles compensatorios, como la aplicación de parches virtuales, si una organización no puede realizar la aplicación de parches inmediatamente. Esto garantizará que las aplicaciones que no estén parcheadas puedan al menos protegerse", concluye Katiyar.