top of page

RUSIA ENCABEZA LA ACTIVIDAD CRIMINAL, MIENTRAS CHINA DESTACA POR SU MOTIVACIÓN GEOPOLÍTICA

En el reciente informe "Cloud and Threat Report: Top Adversary Tactics and Techniques" presentado por Netskope, destaca que la mayoría de la actividad cibercriminal proviene de Rusia, mientras que China se destaca por su fuerte motivación geopolítica en el ciberespacio, según el análisis que cubre los tres primeros trimestres de 2023.

Netskope, especializa en Secure Access Service Edge (SASE), acaba de publicar su informe Cloud and Threat Report: Top Adversary Tactics and Techniques, centrado en las técnicas y motivaciones detectadas con mayor frecuencia entre los clientes de Netskope a nivel mundial.


En el análisis, que cubre los tres primeros trimestres de 2023 de Netskope, también señala que el 55% del malware intentado descargar por los usuarios fue distribuido a través de aplicaciones en la nube, resaltando la creciente amenaza en esta esfera. La geografía de los ataques varía, con Australia y Norteamérica sufriendo principalmente ataques de grupos delictivos, mientras que en regiones como África, Asia, Latinoamérica y Oriente Próximo, los altercados tienen una marcada intención geopolítica. Este estudio brinda una mirada profunda sobre cómo los adversarios cibernéticos están evolucionando y cómo las organizaciones pueden fortificar sus defensas ante las cambiantes tácticas y motivaciones de estos actores maliciosos.


Sobre ello, Netskope ha observado un número significativo de adversarios criminales que intentaban infiltrarse en los entornos de los clientes, con Wizard Spider, con sede en Rusia, atacando a más organizaciones que cualquier otro grupo.


Grupos de amenazas más generalizados


Asimismo, Netskope ha descubierto que los principales grupos de delincuentes tienen su base en Rusia y Ucrania, y que los mayores agentes de amenazas geopolíticas provienen de China.


Wizard Spider, la agrupación que intenta atacar principalmente a los usuarios de la plataforma Netskope Security Cloud, es un adversario criminal al que se atribuye la creación del famoso malware TrickBot, en constante evolución. Otros colectivos activos de criminales que recurren en gran medida al ransomware son TA505, creadores del ransomware Clop, y FIN7, que utilizó el ransomware REvil y dio lugar al ransomware Darkside.


Las bandas de delincuentes con intereses geopolíticos están lideradas por memupass y Aquatic Panda. Estos adversarios geopolíticos se dirigen a regiones e industrias específicas por su propiedad intelectual, a diferencia de los actores con motivaciones financieras que desarrollan guías optimizadas para objetivos replicables, donde pueden reciclar tácticas y técnicas con una personalización mínima.


Amenazas verticales y regionales


Según los resultados de Netskope, los sectores verticales de servicios financieros y atención sanitaria registran un porcentaje significativamente mayor de actividad atribuible a grupos de amenazas geopolíticas. En esos verticales, casi la mitad de la acción observada procede de estos adversarios, a diferencia de las agrupaciones con motivaciones financieras. Sectores como la industria manufacturera, los servicios estatales, locales y educativos (SLED) y la tecnología presentaron menos de un 15% de actividad procedente de actores con incitaciones geopolíticas, mientras que el resto de las amenazas tenían un móvil financiero.


Desde una perspectiva regional, Australia y Norteamérica presentan el mayor porcentaje de ataques por actividad de adversarios atribuibles a grupos delictivos, mientras que, en otras partes del mundo, como África, Asia, Latinoamérica y Oriente Próximo destacan los altercados con un fin geopolítico.

Principales técnicas


Los enlaces y archivos adjuntos de spear phishing son las técnicas más populares para el acceso inicial en lo que va de 2023, y hasta agosto, los cibercriminales tuvieron tres veces más éxito en engañar a las víctimas para que descarguen archivos adjuntos de spear phishing en comparación con finales de 2022. Aunque el correo electrónico sigue siendo un canal común utilizado por estos delincuentes, la tasa de éxito es baja debido a los avanzados filtros antiphishing y a la concienciación de los usuarios. Sin embargo, los agresores han encontrado este éxito reciente utilizando cuentas de correo electrónico personales.


En lo que va de 2023, 16 veces más usuarios intentaron descargar un archivo adjunto de phishing desde una aplicación de correo web personal en comparación con las aplicaciones de correo web de organizaciones controladas. El 55% del malware que los usuarios pretendieron descargar se distribuyó a través de aplicaciones en la nube, lo que las convierte en el vehículo número uno para la ejecución exitosa de malware. La aplicación en la nube más popular en las empresas, Microsoft OneDrive, fue responsable de más de una cuarta parte de todas las descargas de malware en la nube.


"Si las organizaciones consiguen ver quiénes son sus principales adversarios y los estímulos que los motivan, entonces podrán evaluar sus defensas y preguntarse: ¿Qué protecciones tengo contra esas tácticas y técnicas? ¿Cómo me ayudará esto a afinar cuál debe ser mi estrategia defensiva?”, explica Ray Canzanese, Director de Investigación de Amenazas de Netskope Threat Labs. “Si puedes defenderte eficazmente contra las técnicas descritas en el informe, estarás protegiéndote eficazmente contra una amplia gama de adversarios. No importa a quién te enfrentes, tendrás las defensas a punto".


Puntos clave para las organizaciones


Basándose en estas técnicas descubiertas, Netskope recomienda a las organizaciones que evalúen sus defensas para determinar cómo debe evolucionar su estrategia de ciberseguridad.


Las técnicas más generalizadas contra las que las organizaciones deben estar preparadas para protegerse incluyen:

  • Enlaces y archivos adjuntos de spear phishing. Implementar defensas anti phishing que vayan más allá del correo electrónico para garantizar que los usuarios estén protegidos contra los enlaces de spear phishing, independientemente de dónde se originen.

  • Enlaces y archivos maliciosos. Tener constancia de que los tipos de archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionan minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados.

  • Protocolos web y exfiltración a través del canal C2. Detecte e impida el tráfico C2 de los adversarios a través de protocolos web utilizando un SWG y un IPS para identificar la comunicación con infraestructuras C2 conocidas y patrones C2 comunes.

banner expo entradas-min.jpg

           Últimas Noticias                                                   

bottom of page