Telcos encabezan lista de ciberataques en 1T22: Cisco Talos

Reciente reporte de Cisco Talos revela las principales amenazas de ciberataques durante los meses de enero a marzo de 2022.

El ransomware fue nuevamente la principal amenaza durante el primer trimestre de 2022 detectado por Cisco Talos Incident Response (CTIR), aunque hubo una mayor variedad de malware utilizado por los actores adversos. CTIR no observó ninguna familia de ransomware utilizada más de una vez, indicativo de que hay una mayor democratización del panorama de los riesgos en ciberseguridad, una tendencia que empezamos a ver el año pasado. La reciente ola de filtraciones del grupo de ransomware Conti también muestra que es probable que este cambio continúe.

La principal recomendación de los expertos de seguridad para las organizaciones es implementar la autenticación multifactor (MFA) en todos los servicios críticos, incluidas las soluciones de respuesta de detección de punto final (EDR). MFA es una forma eficaz de evitar que los adversarios obtengan acceso no deseado y, de forma rutinaria, vemos actividad de amenazas que podría haberse evitado si se hubiera habilitado MFA.

Principales amenazas

Siguiendo la tendencia de todo el año, el ransomware fue la principal amenaza del primer trimestre del año, aunque solo representó 25% de las amenazas observadas frente al 27% del trimestre previo.

• El sector de las telecomunicaciones fue el objetivo de los ataques CTIR, rompiendo una racha de varios trimestres en los que los atacantes se dirigían a la industria del cuidado de la salud más que cualquier otro sector.
• En este trimestre también aparecieron por primera vez tres familias de ransomware, como Cerber (alias CerberImposter), Entropy y Cuba.
• Los atacantes aprovecharon con frecuencia la vulnerabilidad Log4j revelada por primera vez en diciembre de 2021.
• Wave Browser, un supuesto navegador web, fue visto en varios casos. Se trata de un programa potencialmente no deseado (PUP) asociado con adware y el secuestro de navegadores que el CTIR vinculó con actividades maliciosas.

Otros hallazgos de Cisco Talos

• La banda de ransomware as a service (RaaS) de Conti experimentó varias oleadas de filtraciones en el último trimestre, revelando el código fuente del malware y otras piezas clave de información sobre el grupo. CTIR advierte que estas filtraciones pueden dificultar la atribución del actor de la amenaza en los casos que implican las típicas tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) de Conti.
• En el primer trimestre de 2022 se produjo un aumento de amenazas avanzadas persistentes (APT, por sus siglas en inglés) concretamente ataques del grupo MuddyWater, patrocinado por el Estado iraní, y el actor Mustang Panda, con sede en China, que desplegó el troyano de acceso remoto PlugX.
• Los adversarios usaron la vulnerabilidad de Log4j para atacar los servidores VMware Horizon, en el que los atacantes la aprovecharon para instalar mineros de criptomonedas maliciosos.
• Aunque Log4j ha estado allá afuera durante varios meses ya, CTIR considera que los atacantes lo incluyan constantemente en sus tácticas en el futuro.