El año 2021 ha estado marcado por cambios continuos que han empujado a las empresas a adoptar nuevas estrategias para fortalecer su resiliencia, mientras que los ciberdelincuentes han perfilado sus métodos para llevar a cabo ataques más dañinos. Por ello, Lavi Lazarovitz, Head of Security Research de Cyberark Labs y Shay Nahari, VP of Red Team de CyberArk, analizan cómo evolucionarán los ataques y en qué medida alterarán el panorama de la ciberseguridad en los próximos 12 meses.
Los atacantes emplearán OSS para automatizar y ampliar sus ataques a la cadena de suministro
Nuestra economía digital se ejecuta en software de código abierto (OSS), pero la existencia de innumerables librerías OSS “abiertas” y “gratuitas” también significa una superficie de ataque más amplia y la manera idónea para que los cibrdelincuentes eludan la detección y puedan hacer más daño.
La brecha de seguridad que afectó a Codecov el pasado abril nos dio una idea de cómo un ajuste sutil en una línea de código puede convertir una librería completamente benigna en una maliciosa, poniendo en riesgo a cualquier organización que la utilice. Con este método de infiltración altamente evasivo, los atacantes pueden robar credenciales para llegar a miles de organizaciones, a través de una cadena de suministro al unísono.
En los próximos 12 meses, los atacantes continuarán buscando nuevas formas de comprometer las librerías de código abierto. En este sentido, las organizaciones deben aumentar la vigilancia, ya que estos ataques sutiles rara vez enviarán señales, lo que los hace extremadamente difíciles de detectar. Sobre todo, porque tales librerías se implementan como parte de las operaciones diarias legítimas y, en muchos casos, pueden parecer benignas. Además, dado que estos ataques automatizados son fáciles y rápidos de ejecutar, se volverán más frecuentes, repentinos y dañinos.
Se redoblarán los ataques a la lucrativa cadena de suministro
En los últimos años, muchos ataques devastadores han comenzado como un vector de phishing. Históricamente, los ataques a la cadena de suministro han sido realizados por ciberdelincuentes patrocinados por un Estado que persigue objetivos de alto valor o con un alto retorno de la inversión (la brecha de Kaseya es uno de los muchos ejemplos). Sin embargo, los controles anti-phishing generalizados (a menudo descargados a los propios proveedores de la nube) han elevado el costo operativo de tales ataques. Como resultado, veremos que los ataques a la cadena de suministro se volverán más frecuentes y serán utilizados como un vector de ataque por una gran parte de los ciberdelincuentes, debido a un mayor retorno de la inversión, así como al hecho de que la cadena de suministro se está convirtiendo en el eslabón más débil de la cadena.
Nuevos puntos ayudarán a los atacantes a esconderse a simple vista
La seguridad se va a complicar aún más debido a los nuevos escondites provocados por la nube, la virtualización y las tecnologías de contenedores. A medida que la microvirtualización se vuelve más popular, los ciberdelincuentes pueden aislar el malware en estos sistemas virtuales mientras lo mantienen oculto de los controles de seguridad basados en host.
Y aunque estas novedosas técnicas de ataque no se han visto mucho, al menos de momento, algunos ciberdelincuentes están probando sistemas como Windows Subsystem for Linux (WSL), un subsistema que asegura los procesos de credenciales y autenticación, mientras buscan nuevas formas de comprometer las máquinas de endpoint.
Al ejecutar ransomware dentro de una infraestructura Linux, por ejemplo, Endpoint Detection and Response (EDR) y otras herramientas de seguridad de endpoints basadas en host, generalmente no pueden identificar la actividad maliciosa, lo que hace posible que los atacantes cifren o exfiltren datos con facilidad. Todo ello mientras se esconden a simple vista.
El ransomware operativo impulsará los ataques de 2022
La evolución del ransomware como servicio (RaaS) acaba de comenzar. En 2022, el ransomware continuará evolucionando de una industria artesanal a algo más parecido a un círculo de especialistas. Veremos cómo se expande el ransomware impulsado por el operador, con una clara distinción entre las cargas útiles y los métodos de entrega de ransomware listos para usar, los profesionales cualificados que se mueven a través de las redes y los expertos que crean el código del ransomware real.
Jugar ‘al ratón y al gato’ para detectar el ransomware
Además, la mayoría de las familias de ransomware actuales comparten tácticas, procedimientos y múltiples comportamientos técnicos (por ejemplo, la forma en que eliminan las funciones de cifrado de respaldo, realizan la ejecución inicial, etc.), cuyas herramientas de seguridad suelen encontrar denominadores comunes para detectar y bloquear. La adopción generalizada de herramientas de seguridad diseñadas para combatir el ransomware está obligando a los creadores de ransomware a innovar y encontrar diferentes métodos para evitar que se implementen detecciones comunes.