México sigue en alto riesgo por ciberataques
Por Víctor Ruiz
Es prácticamente la mitad de 2022, por lo que la unidad de investigación de SILIKN ha desarrollado un análisis en el cual se muestran los vectores de ataque más comunes, así como algunos otros datos relevantes del sector de ciberseguridad.
Ransomware
En primer lugar, este análisis presenta que los ciberatacantes que han infectado exitosamente a los objetivos con ransomware obtienen acceso principalmente mediante la explotación de conexiones de acceso remoto poco seguras (48.6%) o mediante el uso de correos electrónicos de phishing cargados de malware (39.1%).
Re$cate
La cantidad promedio de rescate exigida en los ciberataques analizados durante el primer semestre de 2022 fue de $528,000 dólares, presentando un aumento del 56.5% con respecto al 2021. Otro dato que señala el análisis es que durante el primer semestre de 2022, el 71% de los ataques de ransomware investigados involucraron la filtración de datos.
México: país bajo fuego cibercriminal
De acuerdo con el estudio, comparado con 2021, en el primer semestre de 2022 se incrementaron en 41.9% los intentos de ciberataques por semana contra organizaciones de diferentes sectores.
Los estados en México con más ataques
CDMX (22%), Jalisco (18%), Nuevo León (12%), Puebla (7%), Guanajuato (7%), Estado de México (6%), Michoacán (5%), Morelos (5%), Veracruz (3%) y otros (15%).
En México, durante el primer semestre de 2022, el sector que experimentó el mayor volumen de intentos de ataques, fue el gobierno, con un promedio de 3,638 por semana (con un incremento del 67.1% con respecto a 2021).
El incremento de ataques semanales por sector en 2021 fue *:
Gobierno 70.4%
Infraestructura crítica 56.1%
Educación 53.9%
Proveedores de Servicios Administrados 47.2%
Cuidado de la salud 45.0%
Manufactura 33.7%
Servicios financieros y banca 32.4%
Aseguradoras 20.6%
Consultoría 18.4%
Retail — Venta Minorista 15.4%
Logística y transportación 14.2%
(*) El porcentaje representa el incremento de ataques a la semana que tiene cada sector en el primer semestre de 2022, con respecto al 2021.
Gabierno inseguro
El gobierno de México ha tenido varios incidentes debido, principalmente, a la falta de actualización de sus sistemas, así como la falta de aplicación de parches de seguridad. Pero también los problemas se han presentado por una falta de monitoreo de los activos tecnológicos y la escasa capacitación y concientización de los empleados en temas de ciberseguridad.
Los vectores de ataque comunes siguen funcionando
Cabe mencionar que los vectores de ataque han cambiado poco con respecto a años anteriores. Quizás esto no debería sorprender, ya que el motivo principal de los ciberdelincuentes sigue siendo obtener ganancias de la manera más fácil y rápida posible, por lo que, si las técnicas de ataque utilizadas han ofrecido un buen retorno de la inversión, es entendible que las sigan utilizando.
Precios
Otro punto importante del análisis de la unidad de investigación muestra que la economía del ciberdelito como servicio hace que las credenciales RDP y VPN estén disponibles a la venta a través de los intermediarios de acceso inicial que las recopilan, a menudo con precios adaptados a los ingresos anuales de cada víctima.
Algunos grupos de ransomware también mantienen acuerdos exclusivos con sus intermediarios, a quienes pagan una tarifa fija o, en otros casos, comparten una parte acordada previamente, de cualquier rescate que pague la víctima.
De igual forma, el malware básico implementado en la etapa inicial (como Emotet, Qakbot o IcedID) se ha vuelto cada vez más popular entre los grupos cibercriminales de ransomware y, mientras en 2021 pocos grupos cibercriminales eran los que tenían la capacidad de ejecutar las cepas de malware, en 2022, son ahora muchas las pandillas afiliadas (por ejemplo, al grupo cibercriminal de ransomware, Conti) que utilizan las cepas disponibles.
Hablando de Conti, la filtración en febrero de 2022 de sus comunicaciones internas evidenció que el creador y desarrollador del malware IcedID, trabajaba para ellos.
Otro elemento a destacar es que después de obtener acceso a la red de una víctima, la herramienta más utilizada por los ciberatacantes (en un 80.9% de los ataques), ha sido un software comercial llamado SoftPerfect Network Scanner, el cual hace ping a las computadoras, escanea puertos, descubre carpetas compartidas y recupera prácticamente cualquier información sobre dispositivos de red a través de WMI, SNMP, HTTP, SSH y PowerShell, por lo cual se presenta como una herramienta de suma utilidad.
SoftPerfect Network Scanner ayuda a recopilar información rápidamente sobre un entorno escaneado e identifica los activos que podrían ser valiosos para el movimiento lateral, la exfiltración de datos o despliegue de ransomware.
**Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT y mentor del Centro de Ciberseguridad 05000.
Para más información, visite: https://www.silikn.com/
