Aumentan los ataques al Correo Electrónico Empresarial (BEC), y persisten las debilidades de Autenticación Multifactor (MFA)

Compartimos el Informe de tendencias trimestrales de Cisco Talos del primer trimestre de 2024, con las principales tendencias  de los atacantes, el malware y las industrias más destacadas.

El informe desprende que el compromiso del correo electrónico empresarial (BEC) fue la principal amenaza observada por Cisco Talos Incident Response (Talos IR) en el primer trimestre de 2024, representando casi la mitad de las interacciones, lo que supone más del doble de lo observado en el trimestre anterior.

Aumentan los ataques BEC – Correo Electrónico Empresarial

El medio más observado para obtener acceso inicial fue el uso de credenciales comprometidas en cuentas válidas, que representaron el 29 por ciento de las interacciones. Es probable que el alto número de ataques BEC (Business Email Compromise), ataque al correo electrónico empresarial, haya desempeñado un papel importante en que las cuentas válidas sean el principal vector de ataque este trimestre.

Persisten las debilidades MFA – Autenticación Multifactor

Las debilidades relacionadas con MFA (Multifactor Authentication), autenticación multifactor, se observaron en casi la mitad de las interacciones de este trimestre, siendo la principal debilidad observada los usuarios que aceptan notificaciones push no autorizadas, que se producen en el 25 por ciento de las interacciones.

Hubo una ligera disminución en el ransomware este trimestre, lo que representa el 17 por ciento de las interacciones. Talos IR respondió a las nuevas variantes del ransomware Phobos y Akira por primera vez este trimestre.

Ranking de ataques por tipología de ataques

 

 

Ranking de ataques por sector de actividad

La industria manufacturera fue la vertical más atacada este trimestre, seguida de cerca por la educación, una continuación del cuarto trimestre de 2024, donde la manufactura y la educación también fueron dos de las verticales más atacadas. Hubo un aumento del 20 por ciento en los compromisos de fabricación con respecto al trimestre anterior.

El sector manufacturero se enfrenta a desafíos únicos debido a su inherentemente baja tolerancia al tiempo de inactividad operativa. Este trimestre, Talos IR observó una amplia gama de actividades de amenazas dirigidas a organizaciones de fabricación, incluidos ataques motivados financieramente, como BEC y ransomware, y algunas actividades de fuerza bruta dirigidas a la infraestructura de red privada virtual (VPN). El uso de credenciales comprometidas en cuentas válidas fue el principal vector de ataque observado dentro de los ataques dirigidos al sector manufacturero este trimestre, lo que representa un cambio con respecto al trimestre anterior, cuando el principal vector de ataque observado en este tipo de interacciones fue la explotación de vulnerabilidades en aplicaciones públicas.

 

 

Tendencia en ataques BEC y MFA

Dentro de los ataques BEC, ataque al correo electrónico empresarial, los adversarios enviarán correos electrónicos de phishing que parecen provenir de una fuente conocida o de buena reputación haciendo una solicitud válida, como actualizar la información de depósito directo de nómina. Los ataques BEC pueden tener muchas motivaciones, a menudo impulsadas por las finanzas, destinadas a engañar a las organizaciones para que transfieran fondos o información confidencial a actores maliciosos.

BEC ofrece a los adversarios la ventaja de hacerse pasar por contactos de confianza para facilitar los ataques internos de spearphishing que pueden eludir las defensas externas tradicionales y aumentar la probabilidad de engaño, infecciones generalizadas de malware y robo de datos.

En un enfrentamiento, los adversarios realizaron un ataque de pulverización de contraseñas y ataques de agotamiento de MFA contra varias cuentas de empleados. Hubo una falta de implementación adecuada de MFA en todas las cuentas afectadas, lo que llevó a los adversarios a obtener acceso a al menos dos cuentas mediante la autenticación de un solo factor. La organización detectó e interrumpió el ataque antes de que los adversarios pudieran ampliar su acceso o realizar actividades adicionales posteriores al compromiso.

Quizás te interese:  Cisco Threat Response, una solución de seguridad fácil de usar

En otro grupo de actividad, varios empleados recibieron correos electrónicos de spear-phishing que contenían enlaces que, cuando se hacía clic, conducían a una cadena de redireccionamiento de páginas web que finalmente aterrizaban en un mensaje legítimo de inicio de sesión único (SSO) que se completaba previamente con la dirección de correo electrónico de cada víctima. El ataque no tuvo éxito porque ninguno de los empleados interactuó con el correo electrónico, lo que probablemente se debió a múltiples señales de alerta. Por ejemplo, el correo electrónico era inesperado y se enviaba desde una dirección de correo electrónico externa, y había un pequeño texto dentro del correo electrónico que se refería al correo electrónico como un fax, lo que era un indicador de un intento de phishing.

Tendencia del ransomware

El ransomware representó el 17 por ciento de las interacciones este trimestre, una disminución del 11 por ciento con respecto al trimestre anterior. Talos IR observó nuevas variantes del ransomware Akira y Phobos por primera vez este trimestre.

Akira 

Talos IR respondió a un ataque de ransomware de Akira por primera vez este trimestre en un compromiso en el que los afiliados implementaron la última versión de ESXi, “Akira_v2”, así como una variante de Akira basada en Windows llamada “Megazord”.
Descubierto por primera vez a principios de 2023, Akira opera como un modelo de ransomware como servicio (RaaS) y emplea un esquema de doble extorsión que implica la exfiltración de datos antes del cifrado. Se sabe que los afiliados de Akira se dirigen en gran medida a las pequeñas y medianas empresas dentro de varias verticales ubicadas principalmente dentro de los EE. UU., pero se han dirigido a organizaciones dentro del Reino Unido, Canadá, Islandia, Australia y Corea del Sur. Los afiliados de Akira son conocidos por aprovechar las credenciales comprometidas y explotar las vulnerabilidades como medio para obtener acceso inicial, como la vulnerabilidad de inyección SQL, rastreada como CVE-2021-27876, que afecta a ciertas versiones de Zoho ManageEngine ADSelfService Plus, y la vulnerabilidad, rastreada como CVE-2023-27532, que afecta a ciertas versiones del software Backup & Replication (VBS) de Veeam.

Fobos

Talos IR ha observado anteriormente variantes del ransomware Phobos, como “Faust”, pero este trimestre, Talos IR respondió a un compromiso con la variante “BackMyData” del ransomware Phobos.
El ransomware Phobos surgió por primera vez a finales de 2018 y compartía muchas similitudes con las familias de ransomware Crysis y Dharma. A diferencia de otras familias de ransomware, existen muchas variantes del ransomware Phobos, como Eking, Eight, Elbie, Devos y Faust. Se conoce poca información sobre el modelo de negocio aprovechado por la operación de ransomware Phobos. En noviembre de 2023, Cisco Talos analizó más de mil muestras de ransomware Phobos para obtener más información sobre la estructura y la actividad de los afiliados, lo que reveló que Phobos puede operar un modelo RaaS debido a los cientos de correos electrónicos e identificaciones de contacto asociados con las campañas de Phobos, lo que indica que el malware tiene una base de afiliados dispersa. Talos evaluó con una confianza moderada que la operación del ransomware Phobos está gestionada activamente por una autoridad central, ya que solo hay una clave privada capaz de descifrarse en todas las campañas observadas.

Otras amenazas observadas

Talos IR respondió a un ataque en el que los adversarios intentaban forzar por fuerza bruta varios dispositivos de seguridad adaptativa (ASA) de Cisco. Aunque los adversarios no tuvieron éxito en su ataque, esta actividad está en línea con la tendencia observada recientemente que afecta a los servicios VPN.

Cisco Talos ha visto recientemente un aumento en la actividad maliciosa dirigida a los servicios VPN, las interfaces de autenticación de aplicaciones web y Secure Shell (SSH) a nivel mundial. Desde al menos el 18 de marzo, Cisco ha observado el escaneo y la actividad de fuerza bruta que se obtiene de los nodos de salida de The Onion Router (TOR) y otros túneles y proxies anónimos.

Quizás te interese:  Cómo mejorar el tiempo de detección de amenazas TI con Cisco Seguridad

Dependiendo del entorno de destino, un ataque exitoso podría dar lugar a un acceso no autorizado a una red de destino, lo que podría provocar bloqueos de cuentas y condiciones de denegación de servicio (DoS). Los intentos de fuerza bruta incluyen una combinación de nombres de usuario genéricos y nombres de usuario válidos exclusivos de organizaciones específicas. La actividad parece indiscriminada y se ha observado en múltiples verticales de la industria y regiones geográficas.

Vectores iniciales

El medio más observado para obtener acceso inicial fue el uso de credenciales comprometidas en cuentas válidas, lo que representó el 29 por ciento de las interacciones, una continuación de una tendencia del trimestre anterior, cuando las cuentas válidas también fueron un vector de ataque principal.

 

 

Debilidades de seguridad

Por primera vez, los usuarios que aceptaron notificaciones push de MFA no autorizadas fueron la principal debilidad de seguridad observada, representando el 25 por ciento de las interacciones este trimestre. La falta de una implementación adecuada de la AMF le siguió de cerca, representando el 21 por ciento de los compromisos, una disminución del 44 por ciento con respecto al trimestre anterior.

Los usuarios deben tener una comprensión clara de los protocolos de respuesta empresarial adecuados cuando sus dispositivos se ven abrumados por un volumen excesivo de notificaciones push. Talos IR recomienda a las organizaciones educar a sus empleados sobre los canales y puntos de contacto específicos para informar de estos incidentes. Los informes rápidos y precisos permiten a los equipos de seguridad identificar rápidamente la naturaleza del problema e implementar las medidas necesarias para abordar la situación de manera efectiva. Las organizaciones también deben considerar la posibilidad de implementar la coincidencia de números en las aplicaciones de MFA para proporcionar una capa adicional de seguridad para evitar que los usuarios acepten notificaciones push de MFA malintencionadas.

Talos IR recomienda implementar MFA en todos los servicios críticos, incluidos todos los servicios de acceso remoto y gestión de acceso a identidades (IAM). La MFA será el método más eficaz para la prevención de compromisos a distancia. También evita el movimiento lateral al exigir a todos los usuarios administrativos que proporcionen una segunda forma de autenticación. Las organizaciones pueden configurar alertas para la autenticación de un solo factor para identificar rápidamente posibles brechas.

Principales técnicas de MITRE ATT&CK observadas

La siguiente tabla representa las técnicas de MITRE ATT&CK observadas en los compromisos de RI de este trimestre e incluye ejemplos relevantes y el número de veces que se ha visto. Dado que algunas técnicas pueden enmarcarse en múltiples tácticas, las agrupamos en la táctica más relevante en función de la forma en que se aprovecharon. Tenga en cuenta que esta no es una lista exhaustiva.

Entre las principales conclusiones del marco MITRE ATT&CK se incluyen las siguientes:

  • El software de acceso remoto, como SplashTop y AnyDesk, se utilizó en el 17 por ciento de los compromisos de este trimestre, una disminución del 20 por ciento con respecto al trimestre anterior.
  • El uso de reglas de ocultación de correo electrónico fue la principal técnica de evasión de defensa observada, representando el 21 por ciento de los compromisos este trimestre.
  • Las tareas programadas fueron las más aprovechadas por los adversarios este trimestre para la persistencia, representando el 17 por ciento de los compromisos este trimestre, un aumento del 33 por ciento con respecto al trimestre anterior.
  • El abuso de servicios remotos, como RDP, SSH, SMB y WinRM, se duplicó con creces este trimestre en comparación con el trimestre anterior, lo que representa casi el 60 por ciento de las interacciones.

 

Consulta a los profesionales de Datacom.Global sobre cómo las soluciones de Cisco pueden ayudarte a implementar buenas prácticas de ciberseguridad que te proporcionen la tranquilidad de tu empresa así como visibilidad sobre el impacto de tus usuarios, aplicaciones e infraestructuras.

 

CTA- Contacto genérica