Predicciones de Ciberseguridad 2023

Según WatchGuard Technologies

PREDICCIÓN 1.

Las aseguradoras se volverán más exigentes con sus clientes de ciertos tipos de negocios que se han vuelto más atractivos para los cibercriminales , los forzarán a adoptar regulaciones más estrictas y a pagar costos más altos por sus pólizas de seguros.

Los negocios más afectados serían los que han aparecido recientemente en los titulares como sujetos de ciberataques: Prestadores de Salud, Empresas Financieras, Infraestructura Crítica y Proveedores de Servicios Tercerizados.

También se espera que ciertas aseguradoras adopten una lista de proveedores de soluciones de ciberseguridad aprobados, cuyas soluciones deberían ser las contratadas por los negocios que deseen poder acceder a sus pólizas de seguro.

PREDICCIÓN 2.

Más allá de invertir bastante tiempo y presupuesto en refinar los propios mecanismos de seguridad; las organizaciones seguirán incrementando su preocupación respecto a la seguridad de sus asociados de negocio, debido a que sería especialmente frustrante ser víctima de un ciberataque por el error de alguien más.

Como resultado de esta preocupación, la validación de las prácticas de seguridad de los nuevos proveedores y asociados de negocio, serán un aspecto fundamental en la selección de un nuevo producto.

Estarán surgiendo nuevas empresas especializadas en la validación de la seguridad y en el análisis de riesgo fabricantes de productos. Estas empresas ayudarán a mantener seguimiento de los programas de seguridad de los asociados de negocios y proveedores externos.

PREDICCIÓN 3

Una de las funcionalidades que ofrece el metaverso al mundo empresarial, es el incremento de productividad que puede representar el uso de dispositivos de realidad virtual que permitan tomar control del computador físico de cada usuario en una sala de reuniones virtual. La idea es que los participantes de la reunión interactúen en el metaverso de una forma más humana, como si en realidad se encontrarán en la misma sala de reuniones, sin importar las distancias geográficas que los separen. Sin embargo, en dichas reuniones, los usuarios necesitarán de la información que tienen almacenadas en sus propios computadores y tendrán que tomar control de los escritorios de sus computadores desde el metaverso, en este momento echarán mano de protocolos de escritorio remoto ya conocidos y que han sido objeto de muchos ataques en el pasado.

Por eso se cree que el primer gran ataque al metaverso será producto de la explotación de las vulnerabilidades de escritorio remoto ampliamente conocidas y explotadas en la actualidad.

PREDICCIÓN 4

Se espera un incremento de los ataques de ingeniería social cuyo objetivo son los sistemas de autenticación de múltiple factor (MFA).

La amplia adopción del uso de MFA le ha estado complicando el trabajo a los ciberatacantes que han centrado sus ataques en la obtención de las credenciales de sus víctimas o en el reciclaje de credenciales robadas y disponibles en la DarkWeb.

Mientras los ciberatacantes logran perfeccionar mecanismos de ataque que le permitan capturar los tokens de validación MFA en el «aire», la forma más útil que tienen en los actuales momentos es engañar a los usuarios de los sistemas de MFA para que puedan validarse legítimamente y así poder realizar el ataque.

PREDICCIÓN 5

Los sistemas de taxis que se manejan de forma autónoma con el uso de inteligencia artificial, han estado creciendo rápidamente, debido al ahorro que representa para el sector de transporte para pasajeros poder eliminar el alto costo que representa el conductor.

Alguna de las empresas que promueven estos servicios de taxi autónomos, están afirmando que han completado sobre el millón de viajes y esperan desplegar formalmente este tipo de servicios en ciudades como San Francisco y Beijing.

En el pasado, investigadores de seguridad han demostrado como puede ser hackeado un automóvil que esté conectado con un servicio a internet basado en la red móvil. Por lo que es previsible que ya hayan atacantes centrando sus esfuerzos en estos taxis autónomos, por pura diversión o interés económico.

Se prevé que en 2023, se logré hackear un taxi autónomo con el único objetivo de engañar al sistema de inteligencia artificial y que no sepa como responder, haciendo que se detenga el vehículo y colapsando el tráfico en la vía.

PREDICCION 6

El uso de la inteligencia artificial ha evolucionado mucho y es capaz de ofrecer nuevas habilidades o capacidades prácticas, una de ellas es la capacidad de generar líneas de código (programación) automática.

La inteligencia artificial ya está aprendiendo de billones de líneas de código que se encuentran en repositorios como GitHub. Sin embargo, la calidad del aprendizaje va a ser tan buena como la calidad de las líneas de código de las que se esté aprendiendo. Esto quiere decir, que si el código que alimenta a la inteligencia artificial sufre de vulnerabilidades, los programas que se desarrollen con inteligencia artificial tendrán vulnerabilidades.

Se predice que en 2023, un programador flojo desarrollará un APP de forma totalmente automatizada que incluirá una vulnerabilidad crítica y lo hará disponible del público general.

Traducción y Adaptación Libre. José Luis Gomes.

EDR: Detección y Respuesta desde el Computador.

Cada computador podría ser una puerta de entrada a la red de una organización. Por eso es necesario protegerlas con algo más que un antivirus, es necesaria una herramienta que permita tener la visibilidad requerida para actuar en las fases tempranas de un posible ataque. Esta es la misión de un EDR.

Podemos decir que un EDR es una categoría de herramientas de ciberseguridad que detectan automáticamente posibles amenazas de seguridad y reducen los tiempos de respuesta a incidentes.

Un EDR captura grandes cantidades de eventos e información contextual de cada computador (o servidor) para detectar potenciales ataques, incluso aquellos que nunca antes se hayan visto.

Aunque la visibilidad es el principal beneficio de un EDR, también incluye la capacidad para responder a los ataques en tiempo real. La gran mayoría de los EDR utilizan análisis conductual e inteligencia artificial para identificar patrones de comportamiento sospechosos y contener las amenazas antes de que se produzcan daños significativos.

La gran cantidad de los eventos generados por los EDR de las computadoras, no siempre podrán ser procesados automáticamente, por lo que se requiere del talento humano para analizar las alertas y extrapolar el significado de los eventos generados. Las pequeñas empresas podrían no tener los recursos para mantener su propio especialista, por lo que deberían considerar los servicios de un proveedor de seguridad administrada.

Las características principales de un EDR son:

1. Captura de Eventos: a través de un agente de software ligero que se instala en cada computador y que a través de telemetría envía los eventos de seguridad a una plataforma centralizada donde se puede organizar y analizar. Esta plataforma suele estar basada en la nube.

2. Análisis de Eventos: mediante inteligencia artificial el agente de software aprende cuál es el comportamiento normal del uso del computador, para luego generar un registro, una alarma o un bloqueo de cualquier irregularidad que se presente. Al tener los registros, el personal de seguridad podrá profundizar en el "cuándo", "dónde", "cómo" y "quién" de una amenaza.

3. Clasificación de Eventos: utilizando el marco de MITRE ATT&CK que es una base de datos mundial que categoriza y describe ataques e intrusiones ocurridas en el mundo real, se identifican, bloquean o se generan indicadores que permitan reforzar la postura de seguridad de la organización. 

4. Respuesta automatizada: ante cualquier actividad que se considere sospechosa, generando una alerta para que el personal de seguridad investigue.  Aunque el EDR no sea capaz de resolver los ataques más sofisticados, los cuáles van a requerir de intervención humana, la atención inmediata de los ataques más sencillos ayuda a las organizaciones a minimizar los tiempos de respuesta a incidentes.

5. Retención de Eventos: que permitirá al personal de seguridad revisar datos históricos para determinar como ocurrió un ataque. Los conocimientos obtenidos son extremadamente valiosos para fortalecer la postura de seguridad contra futuras amenazas.  En el caso de los EDR cuya plataforma está basada en la nube,  se obtiene tranquilidad adicional, puesto que siempre se tendrán los históricos, incluso en el peor caso en el que un atacante logre desactivar el EDR.


La prevención por sí sola ya no garantiza la protección. Debemos operar con la creencia de que un atacante, en algún momento, logrará vencer nuestras protecciones de perímetro y cuando llegue ese día, el EDR será crucial para ver qué sucedió, cómo sucedió y, lo más importante, cómo solucionarlo. 

El EDR debe ser considerada por nuestras organizaciones como una pieza fundamental para reforzar nuestra postura de seguridad en la medida que las amenazas evolucionen y se vuelven cada vez más sofisticadas.

En Altermedios podemos poner a su disposición agentes de EDR para que puedan ser evaluados por su organización.

Tomado de:  https://blog.emsisoft.com/en/41378/what-is-edr/ y Adaptado por AltermediosMSS

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

1. STOP (djvu): 56.00%
2. Dharma (.cezar family): 12.00%
3. Phobos: 8.90%
4. GlobeImposter 2.0: 6.50%
5. REvil / Sodinokibi: 4.50%
6. GandCrab v4.0 / v5.0: 3.60%
7. Magniber: 3.30%
8. Scarab: 2.00%
9. Rapid: 1.80%
10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/