La empresa de ciberseguridad Darktrace informó en su último informe anual que
sus investigadores encontraron más de 30,4 millones de correos electrónicos de
phishing el año pasado.
Los actores de amenazas apuntan cada vez más a plataformas comerciales
confiables como Dropbox, SharePoint y QuickBooks en sus campañas de correo
electrónico de phishing y aprovechan dominios legítimos para eludir las
medidas de seguridad.
Al incrustar direcciones de remitente o enlaces de carga útil dentro de
dominios legítimos, los atacantes evaden los métodos de detección
tradicionales y engañan a los usuarios desprevenidos.
Según el
Informe anual de amenazas 2024 de Darktrace, los autores detectaron más de 30,4 millones de correos electrónicos de
phishing, lo que refuerza el phishing como la técnica de ataque preferida.
Darktrace señaló que los ciberdelincuentes están explotando servicios
empresariales de terceros, incluidos Zoom Docs, HelloSign, Adobe y Microsoft
SharePoint. En 2024, el 96 % de los correos electrónicos de phishing
utilizaron dominios existentes en lugar de registrar nuevos, lo que dificulta
su detección.
Se observó que los atacantes utilizaban redirecciones a través de servicios
legítimos, como Google, para entregar cargas útiles maliciosas. En el caso del
ataque a Dropbox, el correo electrónico contenía un enlace que conducía a un
PDF alojado en Dropbox con una URL maliciosa incrustada.
Alternativamente, los actores de amenazas abusaron de cuentas de correo
electrónico secuestradas, incluidas las de Amazon Simple Email Service, que
pertenecían a socios comerciales, proveedores y otros terceros de confianza.
Los autores del informe dicen que esto
«pone de relieve que la identidad sigue siendo un problema costoso en todo
el sector y una fuente persistente de problemas en las redes empresariales y
comerciales».
Los ataques de phishing aumentan con tácticas generadas por IA. Entre los correos electrónicos de phishing que Darktrace encontró:
- 2,7 millones contenían cargas útiles maliciosas de varias etapas.
- Más de 940.000 contenían códigos QR maliciosos.
La sofisticación de los intentos de phishing sigue aumentando, y el phishing
selectivo (ataques por correo electrónico muy específicos) representa el 38%
de los casos. Mientras tanto, el 32% utiliza técnicas novedosas de ingeniería
social, como texto generado por IA con complejidad lingüística. Esta
complejidad puede manifestarse como un mayor volumen de texto, puntuación o
longitud de oraciones.
Darktrace recopiló información de sus más de 10.000 clientes globales para su
informe, aprovechando la IA de autoaprendizaje, la detección basada en
anomalías y el análisis exhaustivo de su equipo de investigación de amenazas.
Técnicas de «Living off-the-Land»: una creciente amenaza para la seguridad
Otro método de ataque implica brechas iniciales en la red a través de
vulnerabilidades en dispositivos perimetrales, de borde o con conexión a
Internet, seguidas de técnicas de «Living off-the-Land» (LotL). Esta
estrategia explota herramientas empresariales legítimas preinstaladas para
ejecutar actividades maliciosas mientras se evita la detección.
Darktrace descubrió que el 40% de la actividad de campaña identificada a
principios de 2024 involucraba la explotación de dispositivos con conexión a
Internet, incluidos los de Ivanti Connect Secure, Ivanti Policy Secure, Palo
Alto Network y Fortinet. Los atacantes prefieren las técnicas LotL porque
eliminan la necesidad de malware personalizado y reducen el riesgo de activar
alertas de seguridad tradicionales.
Además de explotar vulnerabilidades en estos dispositivos de borde, los
actores de amenazas utilizan cada vez más credenciales robadas para iniciar
sesión en soluciones de acceso remoto a la red, como VPN, para el acceso
inicial a la red, antes de aprovechar las técnicas LotL.
Los grupos de ransomware explotan herramientas empresariales para realizar
ataques ocultos
Los grupos de ransomware, incluidos
Akira,
RansomHub,
Black Basta,
Fog
y
Qilin, junto con los actores emergentes
Lynx, han estado utilizando cada vez más software empresarial legítimo:
- AnyDesk y Atera para enmascarar las comunicaciones de comando y control.
- Exfiltración de datos a servicios de almacenamiento en la nube.
-
Tecnología de transferencia de archivos para una explotación rápida y una
doble extorsión.
Estos grupos también son reclutados con frecuencia para
Ransomware-as-a-Service o Malware-as-a-Service, y el uso de herramientas MaaS
aumentó un 17% entre la primera y la segunda mitad de 2024. El uso de troyanos
de acceso remoto, malware que permite a un atacante controlar de forma remota
un dispositivo infectado, también aumentó un 34% durante el mismo período.
Fuente:
TechRepublic