El último IBM® de 2024 Hoy en día, la explotación de cuentas comprometidas se ha vuelto tan frecuente como los ataques de phishing tradicionales, lo que indica un cambio preocupante en la estrategia de los ciberdelincuentes. Este cambio resalta la necesidad crítica de proteger las credenciales de inicio de sesión y los datos confidenciales. Con altos niveles de actividad en los mercados de la Dark Web y un aumento reportado del 266% en malware de robo de información solo este año, las organizaciones necesitan aumentar sus defensas contra el compromiso de credenciales. nunca ha sido tan urgente.
IBM presenta un panorama de un ecosistema de cibercrimen altamente interconectado, donde la venta de credenciales comprometidas en la Dark Web y la propagación de malware diseñado para robar credenciales de inicio de sesión funcionan en conjunto. Este ecosistema no solo facilita la propagación de cuentas comprometidas, sino que también resalta la necesidad de que las organizaciones tomen medidas proactivas, como monitorear la Dark Web en busca de signos de sus credenciales robadas. Además, implementar y capacitar a los usuarios sobre la importancia de contraseñas seguras puede reducir significativamente el riesgo de comprometer las credenciales y crear una cultura de ciberseguridad en una organización.
La prevalencia de cuentas comprometidas requiere que los equipos de seguridad adopten estrategias de detección y respuesta más sofisticadas. Los incidentes que implican acceso válido a través de credenciales robadas requieren un enfoque matizado y, a menudo, requieren una mayor inversión de tiempo y recursos que otros tipos de ciberataques. El prolongado ciclo de vida de detección y recuperación de una violación de datos que involucra credenciales comprometidas, que a veces se extiende hasta casi un año, presenta un desafío importante para las organizaciones a la hora de identificar y mitigar las amenazas.
Cambio estratégico en los ciberataques
Los ciberataques que explotan cuentas comprometidas se han vuelto tan comunes o más comunes que los ataques de phishing, y a los atacantes les resulta cada vez más fácil explotar las credenciales de usuarios ya comprometidos. La Dark Web es un centro popular para el comercio de credenciales comprometidas, con un volumen alarmante de credenciales de usuario a la venta. Esto incluye una amplia gama de credenciales de inicio de sesión, desde información de cuentas en la nube hasta datos confidenciales, lo que facilita a los atacantes hacerse pasar por usuarios legítimos. Sólo este año, se ha informado de un aumento del 266 % en el malware diseñado para recopilar información de identificación personal, lo que alimenta el ciclo de compromiso de credenciales y facilita el acceso a las redes de las organizaciones.
El informe IBM X-Force arroja más luz sobre un riesgo crítico y a menudo pasado por alto: las violaciones de datos de terceros. Estos incidentes revelan una cadena de vulnerabilidades que comienza con el compromiso inicial de las credenciales de trabajo reutilizadas de un empleado en un sitio web externo de un tercero. Estos sitios, una vez pirateados, se convierten en fuente de credenciales robadas que terminan en la Dark Web, lo que no sólo pone en riesgo los datos personales del individuo, sino que también pone en peligro la seguridad de las redes organizacionales y la información confidencial.
«En esta era, el enfoque se ha desplazado hacia el acceso en lugar de la piratería, destacando la relativa facilidad de adquirir credenciales versus explotar vulnerabilidades o ejecutar campañas de phishing».
-Índice IBM X-Force Threat Intelligence 2024, página 3
El desafío para los equipos de seguridad
Los datos año tras año presentan un asombroso aumento del 71% en el volumen de ataques que aprovechan credenciales válidas, lo que marca un momento crucial en la estrategia contra el cibercrimen. Por primera vez, el abuso de cuentas válidas se ha convertido en el método más común utilizado por los ciberdelincuentes para infiltrarse en los entornos de las víctimas, y representa el 30 % de todos los incidentes a los que respondió X-Force en 2023. Este cambio pone de relieve el creciente riesgo que plantea credenciales comprometidas. , a medida que los atacantes eluden cada vez más las defensas de seguridad tradicionales haciéndose pasar por usuarios legítimos.
Por el contrario, hubo una disminución del 11,5 % en los incidentes de ransomware empresarial, aunque sigue siendo una preocupación importante como el subtipo más común de malware implementado en las redes de las víctimas. Esta disminución refleja la creciente resiliencia entre las organizaciones más grandes, que tienen cada vez más éxito en interceptar ataques antes de que pueda ocurrir el despliegue. Además, el cambio estratégico de dejar de pagar rescates por reconstruir sistemas comprometidos sugiere una menor rentabilidad para los atacantes que dependen de la extorsión basada en criptografía. Con la prevalencia de credenciales comprometidas a la venta en la Dark Web, muchos ciberatacantes descubren que pueden acceder a una organización simplemente iniciando sesión.
Además, estamos viendo un aumento en los incidentes relacionados con el robo y la fuga de datos, que se han convertido en el impacto más común para las organizaciones, observado en el 32% de los casos. Esta tendencia indica un cambio estratégico entre los grupos de ciberdelincuentes hacia métodos que ofrecen ganancias financieras directas a través del acceso no autorizado y la venta de información confidencial.
Infostealer: una preocupación creciente
El Índice de Inteligencia de Amenazas de 2024 encontró un aumento significativo en el uso de ladrones de información. Con un sorprendente aumento del 266 % en la actividad relacionada con el robo de información en 2023 en comparación con el año anterior, la comunidad está presenciando un giro estratégico entre los actores de amenazas. Anteriormente conocidos por su enfoque en ransomware, estos grupos ahora están dirigiendo cada vez más su atención a los ladrones de información, con nuevos participantes notables como Rhadamanthys, LummaC2 y StrelaStealer marcando su presencia con una mayor actividad.
Este cambio hacia el malware de robo de información no es solo una diversificación de tácticas, sino que indica una reevaluación más profunda de las estrategias de ataque, priorizando las credenciales como vector clave para el acceso inicial. La adopción de ladrones de información, a menudo disponibles en el mundo criminal como malware como servicio, facilita un amplio espectro de actividades fraudulentas, desde el robo financiero directo hasta sentar las bases para ataques más complejos a las empresas al otorgar acceso inicial a través de credenciales robadas.
El aumento de los ladrones de información corresponde a una creciente sofisticación en los métodos de distribución de malware. Además de los vectores tradicionales como el correo electrónico, los actores de amenazas ahora están explotando la publicidad maliciosa a través de anuncios fraudulentos de Google y Bing, distribuyendo descargas de software falsas que contienen ladrones de información y puertas traseras, lo que potencialmente conduce a ataques de ransomware.
Además, la implementación de cadenas de ejecución complejas y el uso de herramientas de explotación territorial exacerban el desafío para las defensas de ciberseguridad, lo que dificulta la detección tanto para los analistas como para las tecnologías. Las credenciales obtenidas a través de estos métodos a menudo son traficadas hacia la Dark Web y terminan perpetuando el ciclo.
El informe también señala un aumento significativo en el “Kerberoasting”, una táctica destinada a comprometer las credenciales de Microsoft Windows Active Directory. Este método ejemplifica las técnicas sofisticadas utilizadas para capturar credenciales confidenciales, lo que complica aún más el panorama para los equipos de seguridad.
La línea de fondo
El índice IBM X-Force Threat Intelligence 2024 pone de relieve la cuestión de las credenciales comprometidas y su papel a la hora de facilitar el acceso no autorizado a las cuentas de los usuarios. Si bien es reconfortante que los ataques de ransomware sean cada vez menos riesgosos para las organizaciones, esta tendencia de que los ciberdelincuentes aprovechen las credenciales robadas para llevar a cabo violaciones de datos resalta una vulnerabilidad crucial dentro de las organizaciones. El aumento de cuentas comprometidas refuerza la necesidad de reforzar las medidas de seguridad, incluida la detección de contraseñas comprometidas y políticas de contraseñas sólidas. Comprender y mitigar los riesgos será fundamental para proteger los datos confidenciales y mantener un entorno seguro.
La publicación IBM X-Force Threat Intelligence Index 2024 apareció por primera vez en Enzoic.
*** Este es un blog distribuido por Security Bloggers Network desde Blog | Enzoico escrito por Enzoico. Lea la publicación original en: https://www.enzoic.com/blog/ibm-x-force-threat-intelligence-index-2024/