Las empresas de telecomunicaciones, así como las instituciones de salud y de educación fueron los principales principales blancos de ciberataques en el segundo trimestre del año, periodo en el cual el malware “comoditizado” aparece como la principal amenaza, con 20 por ciento, usado por actores maliciosos que buscan acceder a información sensible.
“Ha venido creciendo a raíz de que en el ransomware hubo muchos takedowns, baja de los sitios que hospedan servidores donde piden los rescates o dominios asociados a los ataques, así como algunas aprehensiones… Creemos que debido a esa tendencia bajó el ransomware, pero subió el malware comoditizado”, destacó Yair Lelis, director de Ciberseguridad de Cisco México.
En entrevista para ConsumoTIC, explicó que de acuerdo con las tendencias sobre amenazas y respuesta a incidentes detectados por la unidad de inteligencia Cisco Talos, los servicios financieros y los gobiernos locales le siguen en la lista de los targets que han estado en la mira de los ciberdelincuentes
En el tema de amenazas, dijo, se pasó de un ambiente predominantemente orientado al ransomware tradicional a uno donde empezó a crecer el “commodity malware”, es decir, un tipo de malware que no está personalizado, que cualquiera lo puede obtener fácilmente en volumen y puede ser utilizado para atacar a ciertas empresas.
El “commodity malware” conocido como Remcos, un Troyano de Acceso Remoto (RAT, por sus siglas en inglés), explicó, graba no solamente lo que estás tecleando sino también el audio, captura screenshots y toma información del clipboard o de los textos que el usuario vaya enviando, información que puede ser utilizada posteriormente para otros ilícitos.
El troyano bancario Qakbot (Qbot) es otra de las amenazas detectadas por el grupo de inteligencia, que también es un sustractor de información, pero se propaga por la descarga de archivos de tipo Excel para robar contraseñas, los número de usuario y las tarjetas.
Aunque reconoció que el vector inicial de ataque ha sido regularmente el email, a través del phishing, y no es que esto haya bajado, sino que muchas aplicaciones en la nube han sido explotadas y también son un vector inicial para llegar y desde las aplicaciones tomar el control.
“Algo que nos impacta muchísimo, dado que estas aplicaciones están expuestas, es también como el usuario accede a estas aplicaciones y no tiene un multifactor de autenticación. Esta es una de las debilidades más fuertes que hemos visto, la falta de un segundo o de un multifactor de autenticación, ya sea para los usuarios o para los aplicativos”.
Dentro de la familia de los “Commodity Malware”, además del Remcos RAT y Qakbot (Qbot) banking trojan se encuentran Vidar infostealer y Redline Stealer, que se han colocado en el top de amenazas por primera vez.
“Adicionalmente vimos que Conti, que anunció su retiro de la industria en mayo, pero coincidentemente cuando Conti se va empiezan otras amenazas… pero creemos que Black Basta es el sustituto o el rebranding de Conti, porque empieza a utilizar los mismos sitios para fugar información o los mismos sitios para hacer el pago de su rescates a partir de abril y que está ganando mucha notoriedad con amenazas, sobre todo el Qakbot”.
La defensa del usuario puede llevarse a cabo con acciones muy simples, pues nadie está exento de una amenaza, pero lo que se tiene que evitar a toda costa es que una brecha en la infraestructura se convierta en una brecha de datos, lo cual depende también de la ciber higiene y no necesariamente, en el caso de los smartphones, de si el equipo tiene un sistema iOS o Android.
“Cómo defenderse mejor o cómo empezar a tomar medidas parte de cosas muy simples, como autenticación multifactor, un administrador de contraseñas o una estrategia de Zero Trust… es alarmante que por ejemplo, en el segmento Enterprise solamente haya un 50 por ciento de adopción de una autenticación multifactor”.
C$T-EVP