Comunicado de prensa
FortiGuard Labs informa que el ransomware no disminuye; continúa siendo implacable y más destructivo
La sofisticación, la velocidad y la diversidad de las técnicas de ataque demuestran la importancia de reforzar toda la cadena de defensa
Derek Manky, Jefe de Perspectivas de Seguridad y Alianzas Globales contra Amenazas en FortiGuard Labs de Fortinet
"La ciberseguridad es una industria rápida y dinámica, pero los últimos acontecimientos relacionados con las amenazas muestran una velocidad sin precedentes con la que los ciberdelincuentes desarrollan y ejecutan los ataques hoy en día. Las nuevas y cambiantes técnicas de ataque abarcan toda la cadena de ataque, pero especialmente en la fase de armamento muestran una evolución hacia una estrategia de cibercrimen persistente más avanzada, destructiva e impredecible. Para protegerse contra esta amplia gama de amenazas, las organizaciones necesitan implementar estrategias de prevención, detección y respuesta potenciadas por la IA y basadas en una arquitectura de malla de ciberseguridad que permita una integración mucho más estrecha, una mayor automatización, así como una respuesta más rápida, coordinada y eficaz en toda la red extendida".
Resumen de noticias:
Fortinet® (NASDAQ: FTNT), líder mundial en soluciones de ciberseguridad amplias, integradas y automatizadas, anunció hoy el último informe semestral del Panorama Global de Amenazas de FortiGuard Labs. La inteligencia de amenazas a partir de la segunda mitad de 2021 revela un aumento en la automatización y la velocidad de los ataques que demuestran estrategias de ciberdelincuencia persistentes más avanzadas que son más destructivas e impredecibles. Además, la ampliación de la superficie de ataque con los trabajadores híbridos y la TI híbrida es un punto focal que los ciberdelincuentes intentan explotar. Para obtener una vista detallada del informe, lea el blog. Los aspectos más destacados del informe son los siguientes:
Log4j demuestra la velocidad dramática de las organizaciones de explotación:
Las vulnerabilidades de Log4j que ocurrieron a fines de 2021 demuestran la velocidad de explotación en rápido aumento que los ciberdelincuentes están tratando de aprovechar para su ventaja. A pesar de surgir en la segunda semana de diciembre, la actividad de explotación se intensificó lo suficientemente rápido, en menos de un mes, para convertirla en la detección de IPS más frecuente de toda la segunda mitad de 2021. Además, Log4j tenía casi 50 veces el volumen de actividad en comparación con el conocido brote, ProxyLogon, que ocurrió a principios de 2021.
La realidad es que las organizaciones tienen muy poco tiempo para reaccionar o poner parches hoy en día, dada la velocidad que los ciberdelincuentes están empleando para maximizar las nuevas oportunidades. Las organizaciones necesitan sistemas de prevención de intrusiones (IPS) basados en inteligencia artificial (IA) y machine learning (ML), estrategias agresivas de gestión de parches y visibilidad de inteligencia de amenazas para priorizar las amenazas que se propagan más rápidamente para reducir el riesgo general.
Atacantes apuntan rápidamente a nuevos vectores a través de la superficie de ataque:
Algunas amenazas menores o de baja altitud tienen el potencial de causar problemas mayores en el futuro y son dignas de ser observadas. Un ejemplo es el nuevo malware diseñado para explotar los sistemas Linux, a menudo en forma de binarios de formato ejecutable y enlazable (ELF). Linux ejecuta los sistemas back-end de muchas redes y soluciones basadas en contenedores para dispositivos IoT y aplicaciones de misión crítica, y se está convirtiendo en un objetivo más popular para los atacantes. De hecho, la tasa de nuevas firmas de malware para Linux en el cuarto trimestre cuadruplicó la del primer trimestre de 2021, siendo la variante ELF Muhstik, el malware RedXOR e incluso Log4j ejemplos de amenazas dirigidas a Linux. La prevalencia de detecciones de ELF y otros programas maliciosos para Linux se duplicó durante 2021.
Este crecimiento en variantes y volumen sugiere que el malware para Linux forma parte cada vez más del arsenal de los ciberdelincuentes. Linux debe ser protegido, supervisado y gestionado como cualquier otro endpoint de la red con protección, detección y respuesta avanzadas y automatizadas. Además, debe darse prioridad a la higiene de seguridad para proporcionar una protección activa para los sistemas que puedan verse afectados por amenazas de baja intensidad.
Las botnets muestran una evolución más sofisticada de los métodos de ataque:
Las tendencias de amenazas demuestran que las botnets están evolucionando para adoptar técnicas de ataque cibercriminales más nuevas y evolucionadas. En lugar de ser principalmente monolíticas y centradas en ataques DDoS, las botnets son ahora vehículos de ataque multipropósito que aprovechan una variedad de técnicas de ataque más sofisticadas, incluido el ransomware. Por ejemplo, los actores de amenazas, incluidos los operadores de botnets como Mirai, integraron exploits para la vulnerabilidad Log4j en sus kits de ataque. Además, se rastreó la actividad de botnet asociada con una nueva variante del malware RedXOR, que se dirige a los sistemas Linux para la exfiltración de datos. Las detecciones de botnets que entregan una variante del malware RedLine Stealer también aumentaron a principios de octubre, mutando para encontrar nuevos objetivos utilizando un archivo temático de COVID.
Para proteger las redes y las aplicaciones, las organizaciones deben implementar soluciones de acceso con enfoque Zero Trust para proporcionar privilegios de acceso mínimos, especialmente para proteger los endpoints y dispositivos de IoT que ingresan a la red, así como capacidades automatizadas de detección y respuesta para monitorear el comportamiento anómalo.
Las tendencias de malware muestran que los ciberdelincuentes maximizan "todo remoto":
La evaluación de la prevalencia de las variantes de malware revela un interés sostenido de los ciberdelincuentes por maximizar el vector de ataque del trabajo y el aprendizaje a distancia. En particular, prevalecen varias formas de malware basado en el navegador. Este suele adoptar la forma de señuelos de phishing o scripts que inyectan código o redirigen a los usuarios a sitios maliciosos. Las detecciones específicas varían según las regiones del mundo, pero pueden agruparse en gran medida en el aprovechamiento de tres amplios mecanismos de distribución: los ejecutables de Microsoft Office (MSExcel/, MSOffice/), los archivos PDF y los scripts del navegador (HTML/, JS/). Estas técnicas siguen siendo una forma popular para que los ciberdelincuentes se aprovechen del deseo de la gente de conocer las últimas noticias sobre la pandemia, la política, los deportes u otros titulares, para luego encontrar vías de entrada a las redes corporativas.
Dado que el trabajo híbrido y el aprendizaje siguen siendo una realidad, hay menos capas de protección entre el malware y las posibles víctimas. Las organizaciones deben adoptar un enfoque de "trabajo desde cualquier lugar" para su seguridad mediante la implementación de soluciones capaces de seguir, habilitar y proteger a los usuarios sin importar dónde se encuentren. Necesitan seguridad avanzada en el endpoint (EDR), combinada con soluciones de acceso Zero Trust, incluido ZTNA. Una solución de Secure SD-WAN también es fundamental para garantizar una conectividad WAN segura para la red extendida.
La actividad de ransomware sigue siendo alta y más destructiva:
Los datos de FortiGuard Labs revelan que el ransomware no ha disminuido desde los niveles máximos durante el último año y, en cambio, la sofisticación, la agresividad y el impacto están aumentando. Los actores de las amenazas siguen atacando a las organizaciones con una variedad de cepas de ransomware, tanto nuevas como ya vistas, dejando a menudo un rastro de destrucción. El ransomware antiguo se está actualizando y mejorando activamente, a veces con wiper malware incluido, mientras que otro ransomware está evolucionando para adoptar modelos de negocio de ransomware como servicio (RaaS). RaaS permite a más actores de amenazas aprovechar y distribuir el malware sin tener que crear el ransomware ellos mismos. FortiGuard Labs observó un nivel consistente de actividad maliciosa que involucra múltiples cepas de ransomware, incluyendo nuevas versiones de Phobos, Yanluowang y BlackMatter. Los operadores de BlackMatter afirmaron que no atacarían a organizaciones del sector sanitario y otros sectores de infraestructuras críticas, pero lo hicieron de todos modos.
Los ataques de ransomware siguen siendo una realidad para todas las organizaciones, independientemente de su sector o tamaño. Las organizaciones deben adoptar un enfoque proactivo con visibilidad, análisis, protección y corrección en tiempo real, junto con soluciones de acceso de confianza cero, segmentación y copias de seguridad periódicas de los datos.
Una comprensión más profunda de las técnicas de ataque puede ayudar a detener a los delincuentes más rápido
Analizar los objetivos de ataque de los adversarios es importante para poder alinear mejor las defensas contra la velocidad de las técnicas de ataque cambiantes. Para observar los resultados de varios ataques, FortiGuard Labs analizó la funcionalidad del malware detectado detonando las muestras de malware recogidas a lo largo del año. El resultado fue una lista de las tácticas, técnicas y procedimientos (TTPs) individuales que el malware habría logrado si las cargas útiles del ataque se hubieran ejecutado.
Esta información de alta resolución muestra que detener a un adversario antes, es más importante que nunca. Centrándose en un puñado de esas técnicas identificadas, en algunas situaciones una organización podría cerrar eficazmente los métodos de ataque de un malware. Por ejemplo, las tres principales técnicas para la fase de "ejecución" representan el 82% de la actividad. Las dos técnicas principales para obtener un punto de apoyo en la fase de "persistencia" representan casi el 95% de la funcionalidad observada. Aprovechar este análisis puede tener un efecto dramático en la forma en que las organizaciones priorizan sus estrategias de seguridad para maximizar su defensa.
Protección contra adversarios cibernéticos sofisticados y veloces
A medida que los ataques continúan desarrollándose en sofisticación y abarcan toda la superficie de ataque a mayores velocidades, las organizaciones necesitan soluciones diseñadas para interoperar en lugar de funcionar de forma aislada. La protección contra la evolución de las técnicas de ataque requerirá soluciones que sepan cómo ingerir inteligencia de amenazas en tiempo real, detectar patrones de amenazas y huellas dactilares, correlacionar cantidades masivas de datos para detectar anomalías e iniciar automáticamente una respuesta coordinada. Los productos puntuales deben reemplazarse con una plataforma de malla de ciberseguridad que proporcione gestión centralizada, automatización y soluciones integradas que funcionen en conjunto.
Descripción general del informe
Este último Informe del Panorama Global de Amenazas es una visión que representa la inteligencia colectiva de FortiGuard Labs, extraída de la amplia gama de sensores de Fortinet que recopilaron miles de millones de eventos de amenazas observados en todo el mundo durante la segunda mitad de 2021. De manera similar a cómo el marco MITRE ATT&CK clasifica las tácticas y técnicas del adversario, con las tres primeras agrupaciones que abarcan el reconocimiento, el desarrollo de recursos y el acceso inicial, el Informe Global de Panorama de Amenazas de FortiGuard Labs aprovecha este modelo para describir cómo los actores de amenazas encuentran vulnerabilidades, construyen infraestructura maliciosa y explotan sus objetivos. El informe también abarca perspectivas mundiales y regionales.
Recursos adicionales
- Lea el blog para obtener conclusiones valiosas de esta investigación, o acceda al informe completo.
- Obtenga más información sobre la inteligencia e investigación de amenazas de FortiGuard Labs o las alertas de brotes, que proporcionan pasos oportunos para mitigar los ataques de ciberseguridad.
- Obtenga más información sobre la cartera de servicios de seguridad FortiGuard de Fortinet.
- Vea cómo Fortinet hace posible un mundo digital en el que siempre puede confiar y vea cómo la plataforma Fortinet Security Fabric ofrece una protección amplia, integrada y automatizada en toda la infraestructura digital de una organización.
- Lea más sobre cómo los clientes de Fortinet están protegiendo sus organizaciones.
- Obtenga más información sobre la capacitación gratuita en ciberseguridad de Fortinet , que incluye una amplia conciencia cibernética y capacitación en productos. Como parte de la Agenda de Avance de capacitación de Fortinet (TAA), el Instituto de Capacitación de Fortinet también brinda capacitación y certificación a través de la Certificación de Experto en Seguridad de Redes (NSE), Socio Académico y Programas de Alcance Educativo.
- Participar en la Fortinet User Community (Fuse). Comparta ideas y comentarios, obtenga más información sobre nuestros productos y tecnología, y conéctese con sus compañeros.
- Siga a Fortinet en Twitter, LinkedIn, Facebook e Instagram. Suscríbete a Fortinet en YouTube.
Acerca de FortiGuard Labs
FortiGuard Labs es la organización de inteligencia de amenazas y análisis de Fortinet. Su misión es proporcionar a los clientes de Fortinet la mejor inteligencia de amenazas de la industria diseñada para protegerlos de la actividad maliciosa y los ciberataques sofisticados. Está compuesto por algunos de los cazadores de amenazas, investigadores, analistas, ingenieros y científicos de datos más conocedores de la industria, que trabajan en laboratorios de investigación de amenazas dedicados en todo el mundo. FortiGuard Labs monitorea continuamente la superficie de ataque en todo el mundo utilizando millones de sensores de red y cientos de socios de intercambio de inteligencia. Analiza y procesa esta información utilizando inteligencia artificial (IA) y otras tecnologías innovadoras para extraer esos datos en busca de nuevas amenazas. Estos esfuerzos dan como resultado inteligencia de amenazas oportuna y procesable en forma de actualizaciones de productos de seguridad de Fortinet, investigación proactiva de amenazas para ayudar a nuestros clientes a comprender mejor las amenazas y los actores de amenazas que enfrentan, y al proporcionar inteligencia de amenazas para ayudar a nuestros clientes a comprender y defender mejor su panorama de amenazas. Obtenga más información en http://www.fortinet.com, el blog de Fortinet o FortiGuard Labs.
Acerca de Fortinet
Fortinet (NASDAQ: FTNT) hace posible un mundo digital en el que siempre podemos confiar a través de su misión de proteger las personas, los dispositivos y los datos en todas partes. Esta es la razón por la que las empresas, los proveedores de servicios y las organizaciones gubernamentales más grandes del mundo eligen Fortinet para acelerar de forma segura su recorrido digital. La plataforma Fortinet Security Fabric ofrece protección amplia, integrada y automatizada en toda la superficie de ataque digital, asegurando dispositivos, datos, aplicaciones y conexiones críticas desde el centro de datos hasta la nube y la oficina en el hogar. En el puesto número 1 con la mayor cantidad de dispositivos de seguridad enviados en todo el mundo, más de 550.000 clientes confían en Fortinet para proteger sus negocios. Además, el Fortinet NSE Training Institute, una iniciativa dentro de la Training Advancement Agenda (TAA) de Fortinet, ofrece uno de los programas de capacitación más grandes y amplios de la industria para hacer que la capacitación en ciberseguridad y las nuevas oportunidades profesionales estén disponibles para todos. Obtenga más información en https://www.fortinet.com/lat, el blog de Fortinet o FortiGuard Labs.
Copyright © 2022 Fortinet, Inc. Todos los derechos reservados. Los símbolos ® y™ denotan respectivamente marcas registradas a nivel federal y marcas comerciales de Fortinet, Inc., sus subsidiarias y afiliadas. Las marcas de Fortinet incluyen, pero no se limitan a, las siguientes: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiASIC, FortiMail, FortiClient, FortiSIEM, FortiSandbox, FortiWiFi, FortiAP, FortiSwitch, FortiWeb, FortiADC, FortiWAN, y FortiCloud. Las demás marcas comerciales pertenecen a sus respectivos propietarios. Fortinet no ha verificado de forma independiente las declaraciones o certificaciones aquí atribuídos a terceros, y no avala de forma independiente dichas declaraciones. No obstante cualquier disposición en contrario en este documento, nada constituye una garantía, aseguranza, especificación obligatoria u otro compromiso vinculante por parte de Fortinet, y el desempeño y otra información de las especificaciones en este documento pueden ser únicas para ciertos entornos. Este comunicado de prensa puede contener declaraciones a futuro que implican incertidumbres y suposiciones, como declaraciones sobre lanzamientos de tecnología, entre otros. Los cambios de circunstancias, los retrasos de lanzamiento de productos, u otros riesgos como se indica en los documentos presentados ante la Comisión de Bolsa y Valores, ubicada en www.sec.gov, puede provocar que los resultados difieran materialmente de aquellos expresados o implícitos en este comunicado de prensa. Si las incertidumbres se materializan o las suposiciones resultan incorrectas, los resultados pueden diferir materialmente de aquellos expresados o implícitos en dichas declaraciones y suposiciones a futuro. Todas las declaraciones que no sean declaraciones de hechos históricos son declaraciones que podrían considerarse como declaraciones prospectivas. Fortinet no asume ninguna obligación de actualizar las declaraciones sujetas a riesgos e incertidumbres y expresamente renuncia a cualquier obligación de actualizar estas declaraciones prospectivas.