Microsoft ha presentado una nueva edición de su informe anual sobre ciberseguridad, el Microsoft Security Intelligence Report, que dejó de presentar en 2018 pero que ha retomado dos años después. Ahora ha cambiado su nombre, para denominarse desde ahora Digital Defense Report, pero su finalidad es la misma: pasar revista a lo que ha sucedido en materia de seguridad online en el último año. Esta edición cuenta, por tanto, con información de sucesos y estado del sector entre julio de 2019 y junio de 2020.
En él queda de manifiesto que, sin duda, 2020 será el año recordado como el de la pandemia del coronavirus. Durante el año, aunque algunos grupos de cibercriminales ha utilizado el COVID-19 para intentar infectar a los internautas con malware, se aprecia que estos ataques solo han sido un porcentaje muy bajo del total de los realizados este año.
El phishing, en ascenso según Microsoft
El phishing por correo electrónico en la empresa sigue creciendo y se ha convertido en uno de los vectores dominantes para los ataques. La mayoría de intentos de ataque por este medio se centra en Microsoft y otros proveedores de software como servicio. Las cinco compañías más atacadas por este sistema son, además de Microsoft; UPS, Amazon, Apple y Zoom. Aun así, Microsoft bloqueó unos 13.000 millones de correos dañinos y sospechosos en 2019. De ellos, más de 1.000 millones contenían URLs que se habían creado específicamente para lanzar un ataque de phishing para intentar robar credenciales.
Las operaciones de phishing con éxito suelen ser con frecuencia el primer paso para los intentos de estafa a través del correo electrónico corporativo. Los ciberdelincuentes, mediante este sistema, pueden conseguir acceso al buzón de correo de un directivo, revisar sus comunicaciones por email e intentar utilizar su dirección para engañar a partners y compañeros para que ingresen cantidades de dinero en cuentas bancarias en poder de los atacantes.
Según Microsoft, las cuentas que más se ha tratado de hackear mediante este sistema han sido las de directivos, departamentos de finanzas y contabilidad y empleados en nómina. Pero el phishing no es la única manera de acceder a estas cuentas. Los hackers están empezando a adoptar técnicas de uso en múltiples cuentas de passwords que pueden reutilizarse por parte del mismo usuario. Estos ataques son bastante populares desde hace unos meses, ya que permiten saltarse las soluciones de autenticación en varios pasos.
Además, los de Redmond han comprobado que cada vez hay más grupos que intentan abusar de los servicios basados en la nube para almacenar las herramientas que emplean para atacar, en ver de hacerlo en sus servidores. Asimismo, cambian de servidores y dominios cada vez con más rapidez para evitar ser descubiertos.
El ransomware, el ataque más problemático
Eso sí, de lejos, el tipo de cibercrimen que ha causado más problemas es el ransomware, que ha sido el motivo más común de las intervenciones de los equipos de respuesta a incidentes de octubre de 2019 a julio de 2020. De todos los grupos dedicados al ransomware, los más problemáticos han sido los que se dedican a la caza de sistemas de grandes empresas y multinacionales para intentar conseguir pagos de rescate de mayores cantidades.
En la mayoría de casos, estos grupos utilizan infraestructura de malware proporcionados por otros grupos de ciberdelincuentes o mediante escaneados masivos de Internet en busca de vulnerabilidades recién descubiertos. En muchos casos, los grupos consiguen acceso a un sistema y se quedan en él hasta que están listos para atacar. En el periodo de tiempo analizado en el informe, además, estos grupos han estado muy activos y han rebajado el tiempo que necesitan para lanzar los ciberataques. Sobre todo, durante la pandemia. Tanto, que en algunos casos el tiempo pasado entre la entrada en un sistema y el ataque de ransomware completo pasan menos de 45 minutos.
Otra de las tendencias detectadas por Microsoft en cuanto a los ciberataques es la toma como objetivo de las cadenas de suministro, al alza en los últimos meses. Este tipo de ataques se llevan a cabo como sustitutivo de los ataques directos al objetivo principal, y permiten atacar dicho objetivo, pero también utilizar su infraestructura para hacer lo mismo con todos sus clientes, algo que prefieren en vez de actuar solo contra un único objetivo. O bien lo hacen uno por uno o atacan a todos a la vez.
Los grupos de atacantes respaldados por países, también al alza
Los grupos de atacantes que tiene detrás a un país o un estado también han estado muy ocupados. Entre julio de 2019 y junio de 2020, Microsoft ha emitido más de 13.000 notificaciones a sus clientes por email sobre este tipo de ataques. Más de la mitad de estas notificaciones tuvieron su origen en operaciones de hackeo relacionadas con grupos patrocinados por Rusia, y la mayoría de víctimas estaban en Estados Unidos.
La mayoría de las mismas, por otro lado, tuvieron su origen en ataques de phishing por email a clientes de Microsoft, que ha intentado bloquear algunos mediante órdenes judiciales para quedarse con los dominios empleados en los ataques. Así, a lo largo del año analizado, Microsoft se hizo con dominios que hasta entonces estaban en poder de grupos como Strontium (Rusia), Barium (China), Phosphorus (Irán) y Thallium (Corea del norte).
Otro de los puntos destacados del informe es que los objetivos principales de los ataques persistentes y avanzados (APT) han sido las ONGs y las entidades y empresas del sector servicios. Esto va un poco en contra de lo que suelen afirmar los expertos, que suelen avisar de que los grupos dedicados a estos tipos de ataques prefieren atacar infraestructuras críticas, frente a los objetivos de este tipo de ataques descubiertos por Microsoft.
En general, las conclusiones de Microsoft han llevado a la empresa a afirmar que los grupos de atacantes han hecho evolucionar y avanzar sus técnicas en el último año para aumentar las tasas de éxito de sus campañas, dado que las defensas han mejorado en el bloqueo de los ataques que llevaban a cabo antes.
Fuente: https://www.muycomputerpro.com/2020/09/30/microsoft-ataques-ransomware-minutos