A medida que avanzamos con gratitud hacia el año 2021, debemos reconocer que 2020 fue tan tumultuoso en el ámbito digital como lo ha sido en el mundo físico. Desde estafadores de bajo nivel que aprovechan la pandemia como un vehículo para engañar a las víctimas para que se separen del dinero para el PPE inexistente, hasta actores más capaces que usan malware que tiene una prevalencia considerablemente menor en campañas específicas. Todo lo cual se ha desarrollado en un momento de inmensas dificultades personales y profesionales para millones de nosotros en todo el mundo.
Lidiando con el ruido
Lo que comenzó como un goteo de campañas de phishing y la aplicación maliciosa ocasional se convirtió rápidamente en miles de URL maliciosas y actores de amenazas más que capaces que aprovechan nuestra sed de más información como un mecanismo de entrada a los sistemas de todo el mundo. No hay duda de que COVID fue el tema dominante de las amenazas durante el año, y aunque la inclinación natural será centrarse por completo en tales amenazas, es importante reconocer que también hubo actores muy capaces operando durante este tiempo.
Por primera vez, pusimos a disposición un panel de COVID-19 para complementar nuestro informe de amenazas para rastrear la cantidad de archivos maliciosos que aprovechan COVID como un atractivo potencial. Lo que esto permite es información en tiempo real sobre la prevalencia de tales campañas, pero también claridad sobre los sectores y geografías más objetivo. Mirar las estadísticas del año demuestra claramente que el tema general es que el volumen de contenido malicioso aumentó.
Si bien, por supuesto, esta es una preocupación importante, debemos reconocer que también hubo actores de amenazas más capaces operando durante este tiempo.
Ransomware: una época de auge
La última parte de 2020 vio titulares sobre el aumento de las demandas de rescate y los éxitos continuos de los grupos de ransomware. Una indicación del motivo se proporcionó a principios de 2020 en un blog publicado por Thomas Roccia que reveló que “el número de puertos RDP expuestos a Internet ha crecido rápidamente, de aproximadamente tres millones en enero de 2020 a más de cuatro millones y medio en marzo.»
Dado que RDP es un vector de entrada común utilizado predominantemente por bandas de ransomware posteriores a la intrusión, parece que hay alguna explicación sobre la razón por la que estamos viendo más víctimas en la última parte de 2020. De hecho, en el mismo análisis de Thomas encontramos que las contraseñas más comunes desplegados para RDP son apenas lo que consideraríamos fuertes.
Si consideramos que el panorama más amplio de RDP es más frecuente (debemos asumir que debido a la necesidad inmediata de acceso remoto debido a los bloqueos en todo el mundo), el uso de credenciales débiles, entonces el éxito de los grupos de ransomware se vuelve muy evidente. De hecho, más adelante en el año detallamos nuestra investigación sobre el grupo de ransomware Netwalker que revela la innovación, el reclutamiento de afiliados y, en última instancia, el éxito financiero que pudieron obtener durante el segundo trimestre de 2020.
Un año de grandes vulnerabilidades
El año también nos brindó el regalo adicional de importantes vulnerabilidades. En agosto, por ejemplo, hubo una serie de vulnerabilidades de día cero en una biblioteca de software TCP / IP de bajo nivel ampliamente utilizada desarrollada por Treck, Inc. Conocida como Ripple 20, el efecto en cientos de millones de dispositivos resultó en considerables preocupación relacionada con la cadena de suministro más amplia de dispositivos de los que dependemos. En colaboración con JSOF, el equipo de McAfee ATR desarrolló una lógica de detección y firmas para que las organizaciones detecten estas vulnerabilidades.
Por supuesto, las grandes vulnerabilidades no terminaron ahí; Tuvimos el placer de conocer a BadNeighbour , Drovorub y muchos más. El flujo casi interminable de vulnerabilidades con Puntajes CVSS particularmente altos ha significado que la necesidad de parchear sea muy alto en la lista de prioridades.
El atacante ‘sofisticado’
Al cerrar 2020, se nos presentaron detalles de los ‘estados nacionales’ que llevaban a cabo ataques sofisticados. Si bien, en circunstancias normales, esta terminología es algo que debe evitarse, no hay duda de que el nivel de capacidad que presenciamos en ciertas campañas de amenazas está a un mundo de distancia de las ruidosas estafas de phishing de COVID.
En agosto de 2020, lanzamos el panel MVISION Insights, que proporciona una lista gratuita de las principales campañas cada semana. Esto incluye, más recientemente, el seguimiento contra el troyano SUNBURST detallado en el ataque SolarWinds, o las herramientas robadas en la brecha FireEye. Lo que esto demuestra es que, si bien la prevalencia es un tema clave de conversación, existen actores de amenazas capaces que atacan a las organizaciones con precisión real.
Por ejemplo, la campaña Operation North Star en la que los actores de la amenaza desplegaron una lista de objetivos Permitir y Bloquear para limitar aquellos que infectarían con un implante secundario.
El término sofisticado se utiliza en exceso y la atribución a menudo se relega demasiado rápidamente a la categoría de estado nacional. Sin embargo, las revelaciones han demostrado que hay campañas en las que el ataque utilizó capacidades no del todo comunes y sin duda estamos presenciando un nivel de innovación de los grupos de amenazas que está dificultando el desafío de la defensa.
Lo que está claro es que 2020 fue un año desafiante, pero mientras tratamos de concluir lo que nos depara el 2021, tenemos que celebrar las buenas noticias. Desde iniciativas como No More Ransom que continúan abordando el ransomware, hasta la accesibilidad sin precedentes de herramientas que todos podemos usar para protegernos (por ejemplo, consulte el repositorio ATR GitHub, pero reconozca que hay más).
Fuente: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/a-year-in-review-threat-landscape-for-2020/
