Una vista atrás: radiografiando la ciberseguridad en 2022

Es inevitable subrayar que el pasado 2022 estuvo marcado por una profunda transformación del sector de la ciberseguridad que, sin duda, saltó a la primera plana. Un proceso marcado por el incremento exponencial de las ciberamenazas, la sofisticación de las técnicas y herramientas de ataque y nuevas estrategias capaces de tumbar los perímetros de seguridad construidos. Teniendo en cuenta el panorama descrito, Talos, la división de Ciberinteligencia de Cisco, ha llevado a cabo un informe sobre las principales ciberamenazas registradas durante el pasado año. Para ello se ha servido de sus herramientas de telemetría y de las respuestas registradas frente a incidentes. A continuación, las principales conclusiones del estudio en clave cyber.

Democratización del ransomware

A medida que surgían nuevos grupos de ransomware como servicio (RaaS) y otros cambiaban de marca o cerraban sus operaciones, el ransomware ha seguido siendo una amenaza especialmente relevante durante 2022, con atacantes más diversos, la educación como el sector más afectado y Lockbit y Hive como el malware más activo.

Herramientas legítimas y técnicas antiguas

Los ciberdelincuentes continúan evolucionando para utilizar los avances en defensa contra los propios defensores, aprovechando el software legítimo y herramientas internas de sistemas como PowerShell. Con los esfuerzos de Microsoft para desactivar las macros, los ataques se han trasladado a otros tipos de archivos, a la par que han resurgido algunas técnicas más antiguas y menos sofisticadas como la actividad maliciosa USB.

Commodity Loaders

Originalmente troyanos bancarios, los commodity loaders han evolucionado hasta convertirse en sofisticadas amenazas con cadenas de ataque multifase. Qakbot, Emotet, IcedID y Trickbot han sido los más activos, persistiendo a pesar de los esfuerzos masivos de desmantelamiento y añadiendo nuevas características que complican su detección.

Log4j

Casi un año después de que se descubrieran las vulnerabilidades de Log4j -librería de software de código abierto ampliamente extendida-, los ciberdelincuentes siguen aprovechando sus fallos de seguridad a un ritmo elevado. Sólo en enero su actividad aumentó el 40%. Estos intentos de explotación son muy utilizados por actores Estado en campañas ofensivas, y seguirán representado una de las amenazas más comunes en 2023.

Amenazas persistentes avanzadas (APT)

Rusia, China, Irán y Corea del Norte han seguido siendo los principales países emisores de ciber-campañas basadas en estas amenazas, con ataques que utilizan malware personalizado y nuevas variantes de malware ya conocido.

Geopolítica mundial

Los defensores deben comprender las motivaciones de los ciber-delincuentes y disponer de metodologías de seguimiento e inteligencia frente a amenazas. Ucrania sigue siendo objetivo de ataques -desde robo de información hasta actividades APT-, pero también otros países proucranianos han sufrido campañas de phishing y de denegación de servicio dirigidas por grupos como Mustang Panda y Killnet.

En este sentido, tal y como señala Martin Lee, director técnico en Cisco Talos para EMEA, "a lo largo de la historia queda claro un tema clave: los adversarios se están adaptando a los cambios en el panorama geopolítico, a las acciones de las fuerzas de seguridad y a los esfuerzos de los defensores". Por ello incide en que las organizaciones "tendrán que seguir y abordar estos cambios de comportamiento para mantener su capacidad de resiliencia".