El año 2022, que estuvo plagado de agitación económica, problemas de la cadena de suministroe incluso un guerra — resultó ser un año arduo para las organizaciones no solo fuera de línea, sino también en línea. Si bien las empresas trabajaron horas extra para mantener a sus organizaciones protegidas contra amenazas en medio de desafíos y escasez, los actores maliciosos también trabajaron las 24 horas para mantener sus operaciones criminales en funcionamiento. Esto se evidencia con los 146,400 millones de amenazas que detectamos y bloqueamos en 2022, un asombroso aumento del 55,3 % con respecto a las cifras del año anterior.
Esta entrada de blog analiza algunas de las preocupaciones de seguridad cibernética más críticas que ocurrieron en 2022. El informe completo, que incluye una vista más detallada del panorama de amenazas de seguridad cibernética del año pasado, se encuentra en nuestro resumen anual, «Repensar las tácticas: Informe anual de seguridad de 2022».
Los ciberdelincuentes utilizan estrategias de infiltración antiguas y nuevas
Las tres técnicas principales de ATT&CK en 2022
Según nuestra observación de los principales marcos MITRE ATT&CK utilizados en los ataques del año pasado, la mayoría de los actores maliciosos utilizaron métodos similares en las fases iniciales. Tras una investigación más detallada de los tres principales métodos de ATT&CK para 2022, observamos que los ciberdelincuentes obtienen acceso a través de servicios remotos y proceden a abusar de cuentas válidas mediante el dumping de credenciales.
o Los adversarios pueden usar Cuentas válidas para iniciar sesión en un servicio diseñado específicamente para aceptar conexiones remotas, como telnet, SSH y VNC. El adversario puede entonces realizar acciones como el usuario que ha iniciado sesión.
o Los adversarios pueden obtener y abusar de las credenciales de las cuentas existentes como medio para obtener acceso inicial, persistencia, escalada de privilegios o evasión de defensa. Las credenciales comprometidas se pueden usar para eludir los controles de acceso colocados en varios recursos en los sistemas dentro de la red e incluso se pueden usar para el acceso persistente a sistemas remotos y servicios disponibles externamente.
o Los adversarios pueden intentar volcar las credenciales para obtener el inicio de sesión de la cuenta y el material de la credencial, normalmente en forma de hash o contraseña de texto claro, del sistema operativo y el software. Luego, las credenciales se pueden usar para realizar movimientos laterales y acceder a información restringida.
Contrarrestando el movimiento de Microsoft con alternativas maliciosas
Se sabe que los actores maliciosos abusan de los documentos de Microsoft Office al incorporar macros maliciosas en sus ataques. Por lo general, estas cargas útiles maliciosas se adjuntan a correos electrónicos de ingeniería social que intentan atraer a las víctimas para que descarguen y ejecuten malware sin darse cuenta.
En 2022, Microsoft bloqueó la ejecución de macroprogramas en documentos de Office para disuadir a los ciberdelincuentes de abusar de ellos como vectores de acceso inicial. Este movimiento provocó una disminución significativa en el uso de macros de Office en los ataques y llevó a los ciberdelincuentes a buscar alternativas, como el contrabando de HTML, la publicidad maliciosa y las tácticas de vivir de la tierra.
Actores maliciosos apuntan a los puntos débiles de la nube
Ataque a la cadena de suministro en plataformas sin servidor
A medida que más organizaciones comenzaron a cambiar a plataformas sin servidor para ayudarlas a concentrarse en crear un mejor código y no en administrar y proteger los recursos, los actores malintencionados rápidamente siguieron su ejemplo.
El año pasado, investigamos la seguridad de las plataformas sin servidor, que las organizaciones usan para supervisar procesos complejos y alojar datos confidenciales, e identificamos puntos débiles de los que pueden abusar los actores malintencionados. Actores maliciosos han comenzado a robar credenciales de servicios en la nube para obtener variables ambientales confidenciales y lanzar ataques a la cadena de suministrocomo cuando se cambió el código de una biblioteca de Python para recopilar contenido variable confidencial.
Relacionado:
Por qué la ciberseguridad alineada con los negocios significa menos ciberseguridad | de Helen Patton | septiembre de 2022
Avast Threat Labs publica el informe de amenazas del tercer trimestre de 2022
Ideas para planes de lecciones de niños pequeños para desarrollar la lectura de su niño pequeño
Ciberseguridad en un presupuesto. Qué hacer cuando el dinero escasea | de Helen Patton | agosto de 2022
