Inicio » Ataques de cibercriminales destructivos en aumento
CIBERSEGURIDAD

Ataques de cibercriminales destructivos en aumento

Ataques-de-cibercriminales-destructivos-en-aumento

Los ataques destructivos han dejado su huella en los últimos años, borrando datos y haciendo que millones de dispositivos empresariales no funcionen en empresas de todo el mundo. Un nuevo informe de hoy de los Servicios de Inteligencia y Respuesta a Incidentes de IBM X-Force (IRIS) muestra que estos ataques han ido en aumento, lo que representa una amenaza creciente para una amplia variedad de empresas que pueden no considerarse un objetivo obvio.

En el pasado, el malware destructivo era utilizado principalmente por actores sofisticados de los estados nacionales, pero un nuevo análisis de los datos de respuesta a incidentes de X-Force descubrió que estos ataques ahora se están volviendo más populares entre los atacantes cibercriminales, con ataques de ransomware que incluyen elementos de limpiaparabrisas para aumentar la presión. en víctimas para pagar el rescate. Como resultado de este perfil en expansión, X-Force IRIS notó un enorme aumento del 200 por ciento en la cantidad de ataques destructivos a los que nuestro equipo ha ayudado a las empresas a responder en los últimos seis meses (comparando las actividades de respuesta a incidentes de IBM en la primera mitad de 2019 versus la segunda mitad de 2018).

La tendencia en evolución de los ataques destructivos de malware también significa que las organizaciones de todas las formas y tamaños pueden convertirse en un objetivo en un futuro próximo, y deben prepararse en consecuencia.

Ataques destructivos – por los números

Un análisis de los datos de respuesta a incidentes del mundo real de X-Force IRIS pinta una imagen de los efectos devastadores de estos ataques en las empresas. Algunos de los hallazgos clave incluyen:

  • Destrucción masiva, costos masivos: los ataques destructivos le cuestan a las compañías multinacionales $ 239 millones en promedio. Como punto de comparación, esto es 61 veces más costoso que el costopromedio de una violación de datos ($ 3.92 millones).
  • El largo camino hacia la recuperación: la naturaleza debilitante de estos ataques requiere muchos recursos y tiempo para responder y remediar, y las empresas en promedio requieren 512 horas de su equipo de respuesta a incidentes. También es común que las organizaciones utilicen varias compañías para manejar la respuesta y la corrección, lo que aumentaría las horas aún más.
  • Portátiles RIP: un solo ataque destructivo destruye 12,000 máquinas por compañía en promedio, creando una gran pestaña para los nuevos dispositivos para que la fuerza laboral de las compañías vuelva a la acción.

Este nuevo libro blanco profundiza en la naturaleza evolutiva de estos ataques, sus implicaciones y las formas en que las empresas pueden protegerse. En este blog, tocaremos solo algunas de las conclusiones de ese documento.

Una herramienta para Estados-nación y cibercriminales por igual

X-Force IRIS define el malware destructivo como un software malicioso con la capacidad de hacer que los sistemas afectados no funcionen. A menudo, este malware tiene capacidades de borrado , ya sea un programa malicioso afiliado por el estado o criminal.

Desde 2010 hasta 2018, observamos principalmente a actores de estados nacionales que emplean malware destructivo para promover los intereses del estado, a menudo para causar daño a un oponente geopolítico, manteniendo su negación plausible de su lado. Con cepas infames como Stuxnet, Shamoon y Dark Seoul en los titulares, estos ataques dejaron un rastro de destrucción a su paso.

Sin embargo, desde 2018, hemos observado que el perfil de estos ataques se expande más allá de los estados nacionales a medida que los ciberdelincuentes incorporan cada vez más componentes destructivos, como malware de limpiaparabrisas, en sus ataques. Esto es especialmente cierto para los ciberdelincuentes que usan ransomware, incluidas cepas como LockerGoga y MegaCortex . Los atacantes con motivación financiera pueden estar adoptando estos elementos destructivos para presionar a sus víctimas a pagar el rescate o atacar a las víctimas si se sienten perjudicadas.

Una amenaza creciente para las empresas de todo tipo

Como resultado del cambio en la motivación del atacante, la variedad de industrias a las que se dirige el malware destructivo se ha expandido con el tiempo, impactando a las empresas en todos los mercados verticales. Los datos de X-Force IRIS sugieren que el malware destructivo es cada vez más frecuente en las empresas de todo el mundo, con nuestros equipos de respuesta a incidentes asistiendo con un 200 por ciento más de casos de malware destructivo en la primera mitad de 2019 (en comparación con la segunda mitad de 2018). La mitad de estos casos de malware destructivo fueron en la industria manufacturera , y los ataques destructivos también se dirigieron significativamente a los sectores de petróleo y gas y educación . La mayoría de los ataques destructivos que hemos observado son en Europa, Estados Unidos y Medio Oriente.

Lecciones aprendidas de X-Force IRIS

En el curso de remediar ataques destructivos de malware, X-Force IRIS ha aprendido varias lecciones importantes sobre este género de ataque. Los atacantes que manejan malware destructivo tienden a ser astutos y cuidadosos. A menudo, están presentes en dispositivos o redes comprometidas durante semanas o meses antes de lanzar el ataque destructivo.

Los adversarios destructivos de malware a menudo obtienen una entrada inicial en los sistemas a través de correos electrónicos de phishing , adivinación de contraseñas , conexiones de terceros y ataques de abrevaderos . Los observamos teniendo cuidado de preservar de manera encubierta el acceso a cuentas privilegiadas o dispositivos críticos para la fase destructiva de su ataque, usándolos junto con servicios de comando remoto legítimos dentro del entorno objetivo, como los scripts de PowerShell, para moverse lateralmente a través de la red de la víctima.

¿Qué pueden hacer las empresas para reducir los riesgos de ataques destructivos de malware?

  • Pon a prueba tu plan de respuesta bajo presión. El uso de un ejercicio de mesa bien adaptado y un rango cibernético puede garantizar que su organización esté lista tanto a nivel táctico como estratégico para un ataque destructivo de malware.
  • Utilice la inteligencia de amenazas para comprender la amenaza para su organización. Cada actor de amenazas tiene diferentes motivaciones, capacidades e intenciones, y la inteligencia de amenazas puede usar esta información para aumentar la eficacia de la respuesta de una organización ante un incidente.
  • Participar en defensa efectiva en profundidad. Incorpore múltiples capas de controles de seguridad en todo el Marco de preparación y ejecución de ataques cibernéticos .
  • Implemente la autenticación multifactor (MFA) en todo el entorno. El costo-beneficio de MFA es difícil de exagerar, ya que proporciona un beneficio significativo de ciberseguridad para reducir el valor de las contraseñas robadas o adivinadas de manera espectacular.
  • Tenga copias de seguridad, copias de seguridad de prueba y copias de seguridad sin conexión. Las organizaciones deben almacenar las copias de seguridad aparte de su red principal y solo permitir el acceso de lectura, no escritura, a las copias de seguridad.
  • Considere un plan de acción para una funcionalidad comercial rápida y temporal. A las organizaciones que han podido restaurar incluso algunas operaciones comerciales después de un ataque destructivo les ha ido mejor que sus contrapartes.
  • Cree una línea base para la actividad de la red interna y monitoree los cambios que podrían indicar movimiento lateral (más detalles sobre este enfoque en un podcast aquí ).