Warren Buffett dijo una vez: “No dejes que una buena crisis se desperdicie”. Los atacantes cibernéticos se han suscrito durante mucho tiempo a este mantra, y está claro en los últimos dos años que continúan siguiendo este enfoque.
Un líder del FBI describió estas tendencias como una «colisión de actores de amenazas cibernéticas altamente motivados y un aumento de oportunidades».
Pero mientras algunos actores de amenazas intensificaron sus esfuerzos para maximizar las ganancias en medio de la crisis, nada ha cambiado sustancialmente en su enfoque. De hecho, una nueva investigación de Microsoft indica que los ataques de malware vinculados al coronavirus fueron «apenas un parpadeo» en el volumen total de amenazas que normalmente ve cada mes. La naturaleza global y el impacto universal de la crisis simplemente facilitaron el trabajo de los ciberdelincuentes.
Microsoft señala que los ataques alcanzaron su punto máximo en el 2019 y luego se estancaron en una nueva normalidad. Si bien estos ataques siguen siendo más frecuentes que en enero y febrero, la gran mayoría del panorama de amenazas, según el estudio de Microsoft, ha vuelto a la normalidad: «patrones típicos de phishing y compromiso de identidad».
Los atacantes continúan utilizando los mismos métodos probados y verdaderos que les funcionaron mucho antes de 2020: encontrar una forma de entrar, luego apuntar al acceso privilegiado para desbloquear puertas y llegar a donde quieres ir. Es con ese espíritu que queríamos examinar la técnica de intrusión favorita de los atacantes, el phishing, y una opción popular de malware, el ransomware.
Phishing: ganando terreno a través de la ingeniería social
Los atacantes cibernéticos son los mejores psicólogos. Estudian cuidadosamente el comportamiento humano y realizan ingeniería inversa de nuestras huellas digitales para descubrir qué nos motiva y qué nos hace hacer clic. Entienden que las personas anhelan el orden y la seguridad (solo quieren hacer y mantener su trabajo) y que son curiosas y quieren mantenerse informadas. El phishing se aprovecha de estas necesidades humanas básicas y sigue siendo muy eficaz.
Los ataques de phishing de Office 365, por ejemplo. A principios de mayo, surgieron informes de una campaña de phishing que afectó a ejecutivos de alto nivel que usaban Office 365 en más de 150 empresas. Se han informado varios ataques similares, ya que tanto los ejecutivos como los empleados trabajan desde casa.
Si bien estos ataques, en sí mismos, no son nada nuevo (los atacantes a menudo crean páginas de inicio de sesión de Microsoft 365 falsas y maliciosas para engañar a los usuarios de correo electrónico e ingresen sus credenciales), se ha observado un «giro» que apunta a tokens temporales (también conocidos como tokens de acceso) que se generan para permitir el inicio de sesión único (SSO) para Microsoft 365 y todas las aplicaciones de Microsoft.
Al robar y emplear estos tokens temporales, los atacantes pueden eludir la autenticación multifactor (MFA) y persistir en la red al actualizar «legítimamente» el token. Además, incluso si un usuario cambia su contraseña, el token sigue siendo válido y no se puede revocar.
Las aplicaciones de video y chat, como Microsoft Teams, Slack, WebEx, Zoom y Google Hangouts, se han convertido en la nueva cara de la organización durante esta época de trabajo remoto. Los atacantes agregaron estas aplicaciones basadas en la nube a su lista de phishing, usando las mismas técnicas generales que han usado con el correo electrónico desde siempre.
Dentro de estas aplicaciones SaaS, pueden distribuir fácilmente archivos, códigos e incluso GIF maliciosos para extraer datos de los usuarios, robar credenciales e incluso hacerse cargo de cuentas de toda la empresa.
A medida que las organizaciones incorporan más aplicaciones y servicios en la nube para ayudar a sus trabajadores remotos, podemos esperar ver más innovaciones como estas por parte de los atacantes. Pero, al final del día, sigue siendo phishing. Hacer cumplir los privilegios mínimos, la protección contra el robo de credenciales y el control de aplicaciones en los puntos finales, ya sea que estén en el hogar o en la oficina, es fundamental.
Ransomware: ataques de oportunidad
El ransomware siempre ha sido más efectivo cuando se dirige a información crítica y urgente. A medida que aumentaba la pandemia, los informes de ransomware dirigidos a hospitales y proveedores de atención médica subrayaron las consecuencias peligrosas, incluso mortales, de estos ataques. Al comprender que el tiempo de inactividad puede significar la diferencia entre la vida y la muerte, los ciberdelincuentes se han centrado durante mucho tiempo en estas organizaciones críticas, sabiendo que a menudo pagarán cuantiosos rescates para que las operaciones vuelvan a funcionar rápidamente.
Los incidentes de seguridad y las infracciones relacionadas con el COVID-19 se ven amplificados por la frenética cobertura de noticias y las conversaciones constantes en las redes sociales. El público, hambriento de información y actualizaciones, se siente atraído por el drama, y los titulares de estafas sofisticadas y ransomware ruinoso se han entregado al respecto. Como resultado, la seguridad está ahora a la vanguardia de la conversación.
Entonces, ahora es su turno: no deje que una buena crisis se desperdicie
Todavía no estamos fuera de peligro y aún queda mucho por aprender, particularmente cuando las organizaciones consideran cambios permanentes en las políticas de trabajo remoto. Pero esta primera fase ha revelado algunas verdades importantes sobre la forma en que las personas se comportan y trabajan y cómo las empresas deben adaptarse a esta nueva realidad.
Ahora es el momento de analizar sus prácticas de seguridad, en particular, cómo está protegiendo el acceso privilegiado, y trazar su camino hacia el cambio. Al aprovechar esta oportunidad, puede proteger a su organización de pérdidas futuras y fortalecer su postura de seguridad para garantizar el éxito a largo plazo.
Fuente: