Según el informe anual publicado hoy por la empresa de ciberseguridad Crowdstrike, entre los autores de ransomware a nivel mundial se encuentran WOLF, asociado a Turquía, y OCELOT, asociado a Colombia. Actores oportunistas de todo el mundo están entrando en acción.
El informe, que también ofrece información actualizada sobre «los cuatro grandes» adversarios nacionales, Rusia, China, Irán y Corea del Norte, pone cifras a un alarmante panorama de ciberseguridad que se ha ido configurando a lo largo del último año, especialmente en lo que respecta al ransomware.
Nuestra «inteligencia observó un aumento del 82% en las filtraciones de datos relacionadas con el ransomware en 2021, con 2.686 ataques a 31 de diciembre de 2021, en comparación con 1.474 en 2020», según un comunicado de prensa del informe. «Las demandas observadas relacionadas con el ransomware fueron en promedio de 6,1 millones de dólares por rescate, un 36% más que en 2020».
Crowdstrike ha impactado profundamente en los principales funcionarios del gobierno. Su trabajo ha sido importante e impactante, incluso rivalizando con el de Mandiant, dijo un alto funcionario de la General Services Administration a Nextgov, refiriéndose a la empresa de ciberseguridad que levantó gran interés al revelar el «hackeo de SolarWinds», que todavía promete sacudir la política de ciberseguridad.
El hackeo masivo, que los funcionarios del gobierno estadounidense han descrito como una campaña de espionaje llevada a cabo por la Agencia rusa de inteligencia exterior, se denomina «SolarWinds» porque penetró en el mecanismo de entrega de software de la empresa de gestión de TI para distribuir malware a miles de entidades de alto perfil en todo el mundo. Pero el adversario también explotó el servicio de federación de Active Directory de Microsoft para moverse lateralmente por las redes en la nube. Crowdstrike, que compite con Microsoft en servicios de ciberseguridad, ha señalado esto con agudeza, incluso a través de testimonios en el Congreso.
«El adversario vinculado a Rusia, COZY BEAR, amplía su objetivo de TI a los proveedores de servicios en la nube con el fin de explotar las relaciones de confianza y obtener acceso a objetivos adicionales a través del movimiento lateral», dice el informe. «Además, FANCY BEAR aumenta el uso de tácticas de recolección de credenciales, incluyendo técnicas de escaneo a gran escala y sitios web de phishing adaptados a la víctima».
El informe de Crowdstrike destaca la mayor vulnerabilidad del actual panorama de amenazas asociado a la nube. Esta observación coincide con una reciente revisión de la CISA sobre el azote del ransomware y las observaciones que la agencia hizo sobre la recolección de credenciales tras la campaña de hacking de SolarWinds.
«Los adversarios explotan cada vez más las credenciales de usuario robadas y la identidad para eludir las soluciones de seguridad heredadas: de todas las detecciones indexadas en el cuarto trimestre de 2021, el 62% no contenían malware», según el informe.
Fte. Nexgov