Defendiendo la superficie de ataque en expansión: Informe de ciberseguridad de mediados del año 2022 de live casino online
Informe de ciberseguridad de mediados del a?o 2022 de live casino online
Defendiendo la superficie de ataque en expansi¨®nA principios de 2022, muchas empresas de todo el mundo comenzaron a pedir que la mayor¨ªa, si no toda, su fuerza laboral regresara a la oficina a tiempo completo, un fen¨®meno al que se hace referencia acertadamente como ¡°el gran retorno.¡±?Mientras tanto, algunas empresas adoptaron el trabajo h¨ªbrido permanente o las configuraciones remotas. Este grupo de trabajo difuso, junto con una superficie de ataque digital ampliada, ha hecho que sea cada vez m¨¢s dif¨ªcil para los equipos de ciberseguridad mantener seguras las diferentes estructuras de trabajo, un hilo de susceptibilidad que los cibercriminales utilizan r¨¢pidamente para lanzar ataques cr¨ªticos y aprovechar las vulnerabilidades.
Observamos c¨®mo los agentes maliciosos prefirieron los m¨¦todos de ransomware como servicio (RaaS) para implementaciones m¨¢s r¨¢pidas y mayores pagos. Tambi¨¦n utilizaron relativamente nuevas familias de ransomware en ataques de alto perfil y sistemas basados en Linux cada vez m¨¢s dirigidos con ataques. Los operadores de ransomware tambi¨¦n recurrieron a m¨¦todos novedosos y probados para atacar entornos de nube.
En nuestro resumen de seguridad de mediados de a?o, destacamos las historias de seguridad m¨¢s importantes que tuvieron un impacto considerable en el panorama de amenazas en la primera mitad del a?o.
Los agentes maliciosos provocan el resurgimiento de Emotet, bloqueo en Linux
En enero de 2021, las autoridades judiciales y policiales internacionales desmantelaron la infraestructura de botnet Emotet. ?Sin embargo, despu¨¦s de solo 10?meses, una usaba la misma infraestructura. A fines de 2021, los investigadores de AdvIntel atribuyeron el a su uso por parte de los operadores del ransomware Conti. En mayo de 2022, descubrimos nuevas variantes de Emotet que ten¨ªan como objetivo enga?ar a las v¨ªctimas para que accedieran a enlaces maliciosos y habilitaran el contenido de macros a trav¨¦s de t¨¦cnicas antiguas y nuevas.
Como parte de un esquema de malware como servicio (MaaS), los agentes maliciosos usaron Emotet como un cargador para implementar Conti y otras familias de ransomware en sistemas infectados con Emotet que consideraron rentables. Esto alineado con nuestra predicci¨®n de seguridad de 2022 acerca de que ese malware b¨¢sico se convertir¨ªa en una gran amenaza a medida que los operadores de ransomware lo integraran continuamente en sus ataques.
Los datos de live casino online Smart Protection Network (SPN) muestran que Emotet ha seguido prosperando en 2022. La primera mitad de 2022 fue testigo de un enorme aumento del 976,7?% en las detecciones de Emotet en comparaci¨®n con la primera mitad de 2021, con Jap¨®n teniendo la mayor cantidad de detecciones.
Las detecciones de Emotet aumentaron m¨¢s de 10?veces en la primera mitad de 2022 en comparaci¨®n con la primera mitad del a?o anterior, probablemente debido a los prol¨ªficos agentes de amenazas que lo usan como parte de sus operaciones.
Fuente: live casino online Smart Protection Network
Los pa¨ªses con mayor n¨²mero de detecciones de Emotet?en el primer semestre de 2022.
Fuente: live casino online Smart Protection Network
Adem¨¢s de subir la apuesta mediante el uso de esquemas MaaS en sus ataques, los agentes maliciosos tambi¨¦n ampl¨ªan continuamente el alcance de sus ataques al apuntar a uno de los sistemas operativos m¨¢s potentes que se utilizan en los servidores y plataformas en la nube en todo el mundo: Linux.
En octubre de 2021, LockBit Linux-ESXi Locker versi¨®n 1.0 comenz¨® a dirigirse a y cifrar servidores ESXi. Este a?o, descubrimos una nueva variante de ransomware, llamada Cheerscrypt que tambi¨¦n se dirig¨ªa a los servidores ESXi. La infecci¨®n exitosa de estos servidores, que son ampliamente utilizados por las empresas, podr¨ªa causar?importantes problemas de seguridad en infraestructuras cr¨ªticas. La aparici¨®n de estas nuevas familias de ransomware dirigidas a Linux se corresponde directamente con lo que vimos en nuestros datos de SPN para la primera mitad del a?o: un aumento del 75?% en los ataques de ransomware dirigidos a sistemas Linux en la primera mitad de 2022 en comparaci¨®n con la primera mitad de 2021.
Una comparaci¨®n de medio a?o del n¨²mero de detecci¨®n de ransomware para equipos basados en Linux.
Fuente: live casino online Smart Protection Network
El modelo RaaS prevalece, mientras que las familias de ransomware dirigidas a caza mayor golpean a las organizaciones en todo el mundo
El modelo RaaS, que permite a los afiliados comprar o alquilar herramientas e infraestructuras de ransomware, tambi¨¦n caus¨® sensaci¨®n en la primera mitad de 2022. Seg¨²n los datos que recopilamos, hab¨ªa 67?grupos de extorsi¨®n y RaaS activos y m¨¢s de 1200?organizaciones de v¨ªctimas notificadas solo en los primeros seis meses de este a?o.
El n¨²mero de grupos de extorsi¨®n y RaaS activos y el n¨²mero de organizaciones de v¨ªctimas de ataques exitosos de ransomware en la primera mitad de 2022.
Fuente: Sitios de filtraci¨®n sobre grupos de extorsi¨®n¡¯ y RaaS
M¨¢s optimizado que los modelos de ransomware convencionales, el sistema RaaS permite que los agentes maliciosos, incluso aquellos sin antecedentes t¨¦cnicos significativos, implementen ataques de ransomware de forma m¨¢s r¨¢pida y f¨¢cil. Seg¨²n los datos de SPN, vimos tres familias de ransomware que dominaban el sector RaaS en lo que respecta a detecciones:?las conocidas familias de ransomware LockBit y Conti y , una familia ransomware escrita en el lenguaje de programaci¨®n Rust que surgi¨® a finales de 2021.
LockBit, Conti y BlackCat experimentaron un aumento significativo en las detecciones en los primeros seis meses de 2022 en comparaci¨®n con la primera mitad del a?o anterior: Los n¨²meros de detecciones de LockBit, Conti y BlackCat.
Fuente: live casino online Smart Protection Network
En nuestras predicciones de seguridad para este a?o, anticipamos que las familias de ransomware perseguir¨ªan objetivos m¨¢s grandes utilizando m¨¦todos de extorsi¨®n m¨¢s avanzados, una predicci¨®n que se ajusta a la factura de las conocidas familias de ransomware sobre las que informamos en la primera mitad de 2022.
Una de estas familias de ransomware es Black Basta, que surgi¨® en abril de 2022 y cuyo grupo operativo ha afirmado estar detr¨¢s de hasta 50?infracciones desde junio.?Black Basta utiliza una sofisticada rutina de encriptaci¨®n que consiste en eliminar el servicio llamado Fax y crear uno nuevo usando la trayectoria del malware y, a continuaci¨®n, agreg¨¢ndolo al registro para persistencia. Tambi¨¦n usa una t¨¦cnica de doble extorsi¨®n que consiste en desviar datos cr¨ªticos y confidenciales antes de cifrarlos con el objetivo de amenazar y persuadir a las v¨ªctimas para que paguen el monto del rescate. Curiosamente, la nota de rescate de Black Basta est¨¢ codificada en el propio malware, lo que sugiere el posible uso de binarios ¨²nicos para cada una de sus v¨ªctimas.
El fondo de pantalla creado por Black Basta usando el archivo .jpg que se coloca en la carpeta %temp%.
Otra importante familia de ransomware, llamada Nokoyawa, surgi¨® en la primera mitad de este a?o y se dirigi¨® a v¨ªctimas en la regi¨®n sudamericana, espec¨ªficamente en Argentina. Nokoyawa comparte herramientas y t¨¦cnicas comunes con Hive, una conocida familia de ransomware que se utiliz¨® para lanzar ataques de ransomware en m¨¢s de 300?organizaciones de atenci¨®n m¨¦dica de EE.?UU. en 2021. Despu¨¦s de analizar los detalles t¨¦cnicos de Nokoyawa, pudimos observar las diferencias entre las dos familias de ransomware: Sus binarios se compilaron usando diferentes lenguajes y Nokoyawa no us¨® ning¨²n paquete mientras que Hive us¨® UPX.
La configuraci¨®n err¨®nea en la nube sigue siendo una de las principales preocupaciones, mientras que aumentan los ataques de miner¨ªa de criptomonedas basados en la nube que utilizan t¨¢cticas evolutivas.
Nuestras predicciones de seguridad anticiparon que los atacantes de nube usar¨ªan m¨¦todos tradicionales y novedosos en sus ataques este a?o. En lo que respecta a nuestras observaciones en los primeros seis meses de 2022, esta predicci¨®n tambi¨¦n es precisa. Creemos que estos ataques variados y evolutivos reflejan con precisi¨®n el estado de la superficie de ataque digital cada vez mayor, incluida la forma en la que los cibercriminales seguir¨¢n aprovech¨¢ndose de ella para obtener ganancias.
En los ¨²ltimos a?os, los contenedoresbasados en la nube han permitido a las organizaciones optimizar sus procesos y ciclos de desarrollo. Debido a la ubicuidad de estos contenedores y al hecho de que muchas de estas plataformas est¨¢n mal configuradas, siguen siendo el objetivo de los cibercriminales. Seg¨²n una realizada en mayo de 2022, el 53?% de los encuestados, compuestos por 300?profesionales de DevOps, ingenier¨ªa y seguridad, dijeron que detectaron una configuraci¨®n err¨®nea en sus contenedores y/o en implementaciones de Kubernetes.
A principios de este a?o, nosotros investigamos los cl¨²steres de Kubernetes que se expusieron p¨²blicamente a trav¨¦s del puerto 10250 y descubrimos que 243?469?nodos de cl¨²ster estaban expuestos e identificados en Shodan. De estos, aproximadamente 600?nodos devolvieron la notificaci¨®n ¡°200 ¨C OK¡± cuando se les consult¨®. En particular, un atacante podr¨ªa aprovecharse de estos nodos al instalar y ejecutar programas maliciosos a trav¨¦s de la API de kubelet. Aunque la mayor¨ªa de estos nodos de cl¨²ster de Kubernetes bloquearon solicitudes an¨®nimas y devolvieron la notificaci¨®n ¡°401 Status Code ¨C Unauthorized,¡± estos a¨²n podr¨ªan verse comprometidos por un habilidoso agente malicioso a trav¨¦s del token de autenticaci¨®n de kubelet u otras vulnerabilidades.
Adem¨¢s de los contenedores, observamos que los equipos de cibercriminales segu¨ªan interesados en robar las capacidades de miner¨ªa de criptomonedas de los recursos de las v¨ªctimas en la primera mitad del a?o mediante la mejora continua de sus arsenales y t¨¢cticas de ataque.
Seg¨²n la investigaci¨®n que realizamos en 2021 y que publicamos a principios de este a?o, determinamos los cinco grupos de agentes maliciosos m¨¢s destacados en el espacio de miner¨ªa de criptomonedas y c¨®mo hab¨ªan llevado a cabo sus operaciones:
Outlaw
- Prefiere ce?irse a las herramientas y t¨¦cnicas que ha utilizado a lo largo de los a?os.
- Se dirige a dispositivos de Internet de las Cosas (IoT) y servidores en la nube de Linux aprovechando vulnerabilidades conocidas o realizando ataques de fuerza bruta Secure Shell Protocol (SSH).
TeamTNT
- Es uno de los agentes de amenazas centrados en la miner¨ªa de criptomonedas t¨¦cnicamente m¨¢s competentes debido a su capacidad para adaptarse r¨¢pidamente y actualizar su arsenal.
- Es conocido por ser muy activo en las redes sociales.
- Es conocido por aprovechar configuraciones err¨®neas y software vulnerable para comprometer los hosts antes de robar credenciales para el movimiento lateral.
Kinsing
- Comparte similitudes con TeamTNT en lo que respecta a su capacidad para adaptarse r¨¢pidamente y actualizar su conjunto de herramientas.
- No tiene presencia activa en redes sociales ni foros clandestinos.
- Es conocido por aprovechar r¨¢pidamente los nuevos exploits en un per¨ªodo corto, como con el uso de la vulnerabilidad Log4Shell solo unos d¨ªas despu¨¦s de que se hiciera p¨²blica la falla.
8220
8220
- Es conocido por aprovechar vulnerabilidades, especialmente aquellas que afectan al Oracle WebLogic Server.
- Fue 10?veces m¨¢s activo en 2021 que en 2020.
- Es conocido por competir con Kinsing por los mismos recursos y ambos eliminan sus componentes entre s¨ª de m¨¢quinas comprometidas para realizar un exploit de tantos recursos como sea posible.
Kek Security
Kek Security
- Es un grupo relativamente nuevo que utiliza t¨¦cnicas sofisticadas e integra nuevos exploits en sus ataques.
- Es conocido por desarrollar continuamente su propio malware que incorpora mejores capacidades de ofuscaci¨®n.
Resumen del panorama de amenazas
63,789,373,773
N¨²mero total de amenazas bloqueadas en el primer semestre de 2022
Amenazas por email bloqueadas
Direcciones URL maliciosas bloqueadas
Archivos maliciosos bloqueados
Consultas de reputaci¨®n de email
Consultas de reputaci¨®n de URL
Consultas de reputaci¨®n de archivos
Descarga nuestro para obtener informaci¨®n vital y recomendaciones de seguridad destinadas a ayudar a las organizaciones a crear una estrategia ciberseguridad hol¨ªstica y de m¨²ltiples capas para mantenerlas protegidas frente a amenazas actuales y futuras en medio de una superficie de ataque cada vez mayor.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Art¨ªculos Recientes
- Unveiling AI Agent Vulnerabilities Part I: Introduction to AI Agent Vulnerabilities
- The Ever-Evolving Threat of the Russian-Speaking Cybercriminal Underground
- From Registries to Private Networks: Threat Scenarios Putting Organizations in Jeopardy
- Trend 2025 Cyber Risk Report
- The Future of Social Engineering
Cellular IoT Vulnerabilities: Another Door to Cellular Networks
AI in the Crosshairs: Understanding and Detecting Attacks on AWS AI Services with Trend Vision One?
Trend 2025 Cyber Risk Report
CES 2025: A Comprehensive Look at AI Digital Assistants and Their Security Risks