¿Cuáles fueron las tendencias de Ciberataques 2023?
Las filtraciones de datos fueron el protagonista absoluto. El Ransomware pasó al segundo lugar pero en una modalidad que se basa más en la extorsión a empresas y no en su complejidad técnica. Les presentamos nuestro análisis en profundidad de lo que pasó en 2023.
Este resumen se desarrolló, principalmente, a partir de los informes 2023 de FBI y CISA.
Filtraciones de datos
Detrás de la palabra “filtraciones” (leak en inglés) hay un simple robo de datos con fines delictivos. Por primera vez este tipo de ataques superó, en cantidad de incidentes, a nuestro viejo conocido el Ransomware.
El modelo más utilizado para este tipo de ataque es simple y consiste en robar datos de una empresa por distintos medios y comunicar a los tomadores de decisiones de las mismas que si no pagan una extorsión en determinado tiempo, esa información se hará pública. Por supuesto los delincuentes muestran una “prueba de vida” de los datos que tiene en su poder, proporcionado una muestra de los más crítico que pudieron conseguir.
Lo interesante de este ataque es que los sistemas no se ven afectados en cuanto a su integridad y disponibilidad ya que se trató de una intrusión muy prolija que pasó totalmente desapercibida, pero permitió robar datos y comprometer la confidencialidad de la empresa objetivo.
Las dos campañas de robo de datos más exitosas de 2023 fueron MOVEit y GoAnywhere. Detrás de estos ataques está un grupo del que se desconoce su nacionalidad, pero parecen ser de habla rusa y se autodenominan “Clop”. También existieron otros grupos de Ciberdelincuentes que lanzaron ataques similares, pero de mucho menor impacto.
El Ransomware sigue evolucionando
El Ransomware siguió siendo una amenaza para todo tipo de empresas y en particular para las más pequeñas y menos protegidas.
A principios de 2023, comenzó una gran dispersión de Ransomware denominado «ESXiArgs». Estaba dirigido a las infraestructuras que utilizaban el hipervisor VMware ESXi en versiones antiguas y explotaba una vulnerabilidad detectada en el año 2021 y denominada con el CVE-2021-21974.
La vulnerabilidad afecta al servicio OpenSLP en versiones antiguas de ESXi y puede explotarse para permitir la ejecución de código de manera remota. La empresa VMware emitió un comunicado explicando que el ransomware ESXiArgs pone otra vez en evidencia que la infraestructura virtual es una parte estratégica para la IT de una organización y, por lo tanto, es necesario que esté debidamente actualizada para evitar este tipo de incidentes.
La estimación registrada por los informes de FBI y CISA fue de 3.800 servidores comprometidos en todo el mundo. La campaña afectó a empresas de Estados Unidos, Canadá, Francia y Alemania.
Conclusión: menos malware sofisticado y más técnicas convencionales automatizadas
Otra tendencia que se observó en 2023 fue que los atacantes disminuyeron el uso de programas dañinos sofisticados y automatizados y comenzaron a desarrollar herramientas para Remote Monitoring y Management (RMM), que tienen menos probabilidades de ser detectadas por las soluciones de Ciberseguridad que protegen los endpoints.
Los ataques basados en identidad que utilizan credenciales verdaderas pero comprometidas, también aumentaron durante el 2023 ya que son la mejor forma eludir la soluciones de Endpoint Detection and Response (EDR). Lo que también se observa es que, si bien en la mayoría de los casos de compromiso de credenciales hubo un robo de las mismas por distintos medios, aumentó la cantidad de casos de datos de accesos vendidos por los propios titulares de los mismos.
El Phishing y la Ingeniería Social continuaron estando presentes durante 2023 debido a que son tácticas que casi siempre funcionan porque atacan al factor humano. Uno de los ejemplos más conocidos de este tipo de ataque fue el que sufrió la empresa MGM Resorts por el que tuvo que apagar temporalmente su sistema informático y tuvo como consecuencia pérdidas valoradas en 100 millones de dólares.
