Fortinet dio a conocer las predicciones del equipo global de inteligencia e investigación de amenazas de FortiGuard Labs sobre el panorama de las amenazas cibernéticas para 2022 y más allá. Los adversarios cibernéticos están evolucionando y expandiendo sus métodos de ataque para dirigirse a nuevas áreas de explotación que abarcan toda la superficie de ataque, especialmente a medida que el trabajo desde cualquier lugar continúa.
Buscan maximizar las oportunidades desde el borde habilitado para 5G hasta la red central, el hogar e incluso el satélite en el espacio. Estas tendencias anticipan las estrategias que los ciber adversarios seguirán en el futuro, junto con las recomendaciones que ayudarán a los defensores a prepararse para protegerse contra estos próximos ataques. Los aspectos más destacados de las predicciones se encuentran a continuación, para una visión más detallada y otras conclusiones clave, lea el blog asociado.
Aumenta el reconocimiento previo al ataque para maximizar ataques como el ransomware
Los ataques a menudo se discuten en términos de amenazas de lado izquierdo o derecho cuando se ven a través de una cadena de ataque como el marco MITRE ATT&CK. En el lado izquierdo de la cadena de ataque se encuentran los esfuerzos realizados antes del ataque, que incluyen estrategias de planificación, desarrollo y armamento. A la derecha está la fase de ejecución de los ataques. FortiGuard Labs predice que los ciberdelincuentes invertirán más tiempo y esfuerzo en el reconocimiento y el descubrimiento de capacidades de día cero para explotar nuevas tecnologías y asegurar ataques más exitosos. Desafortunadamente, también habrá un aumento en la velocidad a la que se pueden lanzar nuevos ataques, lado derecho, debido al mercado en expansión de crimen como servicio.
• El ransomware será más destructivo: Seguirá habiendo una expansión del crimeware y el ransomware seguirá siendo un foco de atención en el futuro. Los atacantes de ransomware ya aumentan el impacto, combinando el ransomware con la denegación de servicio distribuida (DDoS), con la esperanza de abrumar a los equipos de TI para que no puedan tomar acciones de último momento para mitigar el daño de un ataque. Si se añade la “bomba de relojería” del malware wiper, que podría no sólo destruir los datos, sino también los sistemas y el hardware, se crea una urgencia adicional para que las empresas paguen rápidamente. El malware Wiper ya ha hecho un regreso visible, apuntando a los Juegos Olímpicos de Tokio, por ejemplo. Dado el nivel de convergencia observado entre los métodos de ataque de los ciberdelincuentes y las amenazas persistentes avanzadas (APT), es sólo cuestión de tiempo para que se sumen los conjuntos de herramientas de ransomware con las capacidades destructivas como el wiper malware. Esto podría ser una preocupación para los entornos de borde emergentes, las infraestructuras críticas y las cadenas de suministro.
• Los ciberdelincuentes utilizan IA para dominar las falsificaciones profundas: La inteligencia artificial (IA) ya se utiliza de forma defensiva de muchas maneras, como la detección de comportamientos inusuales que pueden indicar un ataque, normalmente de botnets. Los ciberdelincuentes también están aprovechando la IA para frustrar los complicados algoritmos utilizados para detectar su actividad anormal. En el futuro, esto evolucionará a medida que las falsificaciones profundas se conviertan en una preocupación creciente porque aprovecharán la IA para imitar las actividades humanas y podrán utilizarse para mejorar los ataques de ingeniería social. Además, el espacio para crear falsificaciones profundas se reducirá gracias a la continua comercialización de aplicaciones avanzadas. Éstas podrían acabar dando lugar a suplantaciones en tiempo real a través de aplicaciones de voz y video que podrían pasar el análisis biométrico, lo que supondría un reto para las formas seguras de autenticación como las huellas de voz o el reconocimiento facial.
• Más ataques contra sistemas de menor alcance en la cadena de suministro: En muchas redes, Linux ejecuta muchos de los sistemas informáticos de back-end, y hasta hace poco, no ha sido un objetivo principal de la comunidad de ciberdelincuentes. Recientemente, se han detectado nuevos binarios maliciosos dirigidos a Windows Subsystem for Linux (WSL) de Microsoft, que es una capa de compatibilidad para ejecutables binarios de Linux de forma nativa en Windows 10, Windows 11 y Windows Server 2019. Además, ya se está escribiendo malware de botnet para plataformas Linux. Esto amplía aún más la superficie de ataque en el núcleo de la red y aumenta las amenazas de las que es necesario defenderse. Esto tiene ramificaciones para los dispositivos de tecnología operativa (OT) y las cadenas de suministro en general que se ejecutan en plataformas Linux.
Los ciberdelincuentes apuntan a todos lados: tu cartera, el espacio y el hogar
El reto para los defensores en el futuro es mucho más que el creciente número de ataques o la evolución de las técnicas de los cibercriminales. Se están explorando nuevas áreas de explotación que abarcan una superficie de ataque aún más amplia. Esto será especialmente difícil porque, al mismo tiempo, las organizaciones de todo el mundo seguirán ampliando sus redes con nuevos bordes impulsados por el trabajo desde cualquier lugar (WFA), el aprendizaje remoto y los nuevos servicios en la nube. Del mismo modo, el aprendizaje y los juegos conectados en el hogar son actividades habituales y cada vez más populares. Este aumento de la conectividad rápida en todas partes y todo el tiempo, presenta una enorme oportunidad de ataque para los ciberdelincuentes. Los actores de las amenazas destinarán importantes recursos a atacar y explotar los entornos emergentes de los bordes y “en cualquier lugar” de la red extendida, en lugar de dirigirse únicamente a la red principal.
• El cibercrimen apunta al espacio: FortiGuard Labs predice nuevas pruebas de concepto (POC) de amenazas dirigidas a las redes satelitales durante el próximo año, ya que el acceso a Internet basado en satélites continúa creciendo. Los objetivos más importantes serán las organizaciones que dependen de la conectividad basada en satélites para apoyar actividades de baja latencia como los juegos en línea o la prestación de servicios críticos a lugares remotos, así como las oficinas de campo remotas, los oleoductos o los cruceros y las aerolíneas. Esto también ampliará la superficie potencial de ataque a medida que las organizaciones añadan redes satelitales para conectar sus sistemas que antes estaban fuera de la red, como los dispositivos OT remotos. A medida que esto ocurra, es probable que estos objetivos sufran tipos de ataque como el ransomware.
• Proteja sus bolsillos digitales: Secuestrar las transferencias electrónicas se ha convertido en algo cada vez más difícil para los ciberdelincuentes, ya que las instituciones financieras cifran las transacciones y exigen una autenticación de múltiples factores (MFA). Los monederos digitales, en cambio, pueden ser a veces menos seguros. Aunque los monederos individuales no sean tan rentables, esto podría cambiar a medida que las empresas empiecen a utilizar cada vez más los monederos digitales como moneda para las transacciones en línea. A medida que esto ocurra, es probable que se diseñe más malware específicamente para atacar las credenciales almacenadas y vaciar las carteras digitales.
• Los esports también son un objetivo: Los esports son competencias de videojuegos multijugador organizadas, que a menudo involucran a jugadores y equipos profesionales. Es una industria en auge que está en camino de superar los $1 mil millones en ingresos este año. Los deportes electrónicos son un objetivo atractivo para los ciberdelincuentes, ya sea mediante el uso de ataques DDoS, ransomware, robo financiero y transaccional, o ataques de ingeniería social, ya que requieren conectividad constante y a menudo se juegan desde redes domésticas con seguridad inconsistente o en situaciones con grandes cantidades de acceso Wi-Fi abierto. Debido a la naturaleza interactiva de los juegos, también son objetivos de señuelos y ataques de ingeniería social. Dado su ritmo de crecimiento e interés, es probable que los deportes electrónicos y los juegos en línea sean grandes objetivos de ataque en 2022.
Vivir en un nuevo paisaje, fuera del borde
Más bordes están siendo alimentados por el creciente número de dispositivos de Internet de las Cosas (IoT) y OT, así como dispositivos inteligentes impulsados por 5G y IA que permiten la creación de transacciones y aplicaciones en tiempo real. Seguirán surgiendo nuevas amenazas basadas en los bordes, ya que los ciberdelincuentes apuntan a toda la red extendida como punto de entrada para un ataque. Los ciberdelincuentes trabajarán para maximizar cualquier brecha de seguridad potencial creada por los bordes inteligentes y los avances en la potencia informática para crear amenazas avanzadas y más destructivas a una escala sin precedentes. Y a medida que los dispositivos de borde se vuelvan más potentes con más capacidades nativas, los nuevos ataques se diseñarán para “vivir fuera del borde”. Es probable que se produzca un aumento de los ataques dirigidos a la OT, en el borde en particular, a medida que continúe la convergencia de las redes de TI y OT.
• Los ciberdelincuentes prosperan desde el borde: está surgiendo una nueva amenaza basada en el borde que permite al malware aprovechar el conjunto de herramientas y capacidades existentes dentro de entornos comprometidos para que los ataques y la exfiltración de datos se vean como la actividad normal del sistema y pasen desapercibidos. Los ataques Hafnium en servidores de Microsoft Exchange utilizaron esta técnica para vivir y persistir en los controladores de dominio. Estos ataques son efectivos porque utilizan herramientas legítimas para llevar a cabo sus actividades ilícitas. La combinación de estas técnicas con los troyanos de acceso perimetral (EAD) podría significar que los nuevos ataques se diseñarán para vivir fuera del borde, a medida que los dispositivos de borde se vuelvan más poderosos con más capacidades nativas y, por supuesto, más privilegios. El malware edge podría monitorear las actividades y los datos del borde y luego robar, secuestrar o incluso rescatar sistemas, aplicaciones e información críticos mientras evita ser detectado.
• La Dark Web hace que los ataques a la infraestructura crítica sean escalables: Los ciberdelincuentes han aprendido que pueden ganar dinero revendiendo su malware en línea como un servicio. En lugar de competir con otros que ofrecen herramientas similares, ampliarán su oferta para incluir ataques basados en OT. Pedir un rescate por estos sistemas e infraestructuras críticas será lucrativo para los cibercriminales, pero podría tener consecuencias nefastas como afectar la vida y la seguridad de las personas. Dado que las redes están cada vez más interconectadas, prácticamente cualquier punto de acceso podría ser un objetivo para entrar en la red de TI. Tradicionalmente, los ataques a los sistemas OT eran el dominio de actores de amenazas más especializados, pero tales capacidades se incluyen cada vez más en los kits de ataque disponibles para su compra en la web oscura, lo que los hace disponibles para un conjunto mucho más amplio de atacantes.
Una plataforma de seguridad basada en una arquitectura de malla de ciberseguridad
El perímetro se ha fragmentado más y los equipos de ciberseguridad suelen operar en silos. Al mismo tiempo, muchas organizaciones están pasando a un modelo multicloud o híbrido. Todos estos factores crean una tormenta perfecta para que los ciberdelincuentes adopten un enfoque holístico y sofisticado. Una arquitectura de malla de ciberseguridad integra los controles de seguridad en y a través de redes y activos ampliamente distribuidos. Las organizaciones pueden beneficiarse de una plataforma de seguridad integrada que protege todos los activos en las instalaciones, en el centro de datos, en la nube o en el borde. Los defensores tendrán que planificar con antelación aprovechando el poder de la IA y el aprendizaje automático (ML) para acelerar la prevención, detección y respuesta a las amenazas. Las tecnologías avanzadas para endpoints como la detección y respuesta (EDR), pueden ayudar a identificar las amenazas maliciosas basándose en el comportamiento.
Asimismo, el enfoque de zero trust network access (ZTNA) será fundamental para el acceso seguro a las aplicaciones con el fin de ampliar las protecciones a los trabajadores móviles y a los estudiantes en línea, mientras que la SD-WAN segura es importante para proteger los bordes de la WAN en evolución. Además, la segmentación seguirá siendo una estrategia fundamental para restringir el movimiento lateral de los ciberdelincuentes dentro de la red y mantener las brechas restringidas a una parte más pequeña.
La inteligencia sobre amenazas procesable e integrada puede mejorar la capacidad de una organización para defenderse en tiempo real, ya que la velocidad de los ataques sigue aumentando. Mientras tanto, en todos los sectores y tipos de organizaciones, los datos compartidos y la colaboración pueden permitir respuestas más eficaces y predecir mejor las técnicas futuras para disuadir los esfuerzos de los criminales. Alinear las fuerzas a través de la colaboración debe seguir siendo una prioridad para interrumpir los esfuerzos de la cadena de suministro de los ciberdelincuentes antes de que ellos lo intenten.
