Hoy publicamos la edición 2023 del informe anual de amenazas de Sophos. Basado en una combinación de telemetría, datos de respuesta a incidentes y otra recopilación de inteligencia de amenazas, el informe presenta una instantánea del panorama de amenazas actual y examina las tendencias que hemos visto surgir en la actividad maliciosa. Y una de las tendencias más claras es la evolución continua de una industria de ciberdelincuencia madura que refleja en muchos aspectos las tendencias en software legítimo y servicios digitales.
Los operadores de ransomware fueron los principales adoptadores del modelo “como servicio” para el delito cibernético. En 2022, vimos que el modelo se adoptó más ampliamente en el espacio del delito cibernético, con mercados digitales clandestinos que ahora ofrecen prácticamente todos los componentes del conjunto de herramientas del delito cibernético a quienes estén dispuestos a pagar por ellos: focalización y compromiso inicial de las víctimas, evasión y seguridad operativa, y entrega de malware, entre otros.
También están ampliamente disponibles las herramientas de ataque profesionales, completas con licencias “crackeadas” o ignoradas. Cobalt Strike, destinado a ser utilizado por profesionales de la seguridad para emular atacantes avanzados, ahora se ve en la mayoría de los incidentes de ransomware. Brute Ratel, otra herramienta de explotación avanzada anunciada como un reemplazo de Cobalt Strike, ahora también está ampliamente disponible y se ha visto en un puñado de incidentes de ransomware hasta el momento.
Las operaciones de los propios operadores de ransomware continúan madurando. LockBit 3.0, por ejemplo, ahora ofrece un programa de recompensas por errores para realizar pruebas de fuente abierta de su malware y realiza estudios de mercado en la comunidad criminal para mejorar las operaciones del grupo. Otros grupos han ofrecido programas de “suscripción” para sus datos de fuga.
Todo esto sucedió en el contexto de la continuación de la guerra en Ucrania, que condujo a divisiones y rupturas en los grupos de ciberdelincuencia en idioma ruso, con el resultado de doxing y filtraciones de datos por parte de Conti y otros grupos de ransomware. También condujo a una ola de nuevos fraudes, utilizando la solicitud de fondos del gobierno de Ucrania como señuelo para una ola de estafas con criptomonedas y otras falsificaciones financieras.
El abuso de otro software legítimo, así como de componentes del propio sistema operativo Windows, sigue siendo un desafío para los defensores. Los actores criminales continuaron expandiendo el uso de ejecutables legítimos (como versiones de “prueba” de productos de software comercial, incluidas herramientas de acceso remoto) y de “living off the land binaries” (LOLBins) para evadir la detección y lanzar malware.
También vimos un regreso a los ataques de “traiga su propio controlador”, con actores maliciosos que usan controladores vulnerables de software legítimo para elevar los privilegios e intentar cerrar la detección de puntos finales y los productos de respuesta para evadir la detección.
En el frente móvil, continuamos viendo aplicaciones falsas maliciosas o fraudulentas que eludían la detección de los principales mercados de aplicaciones móviles. Algunas de estas aplicaciones son parte de una clase de ciberdelito en rápida expansión: el fraude comercial financiero. Sophos ha rastreado la rápida expansión de las estafas comerciales criptográficas y de otro tipo, como los esquemas de “matanza de cerdos”, durante el último año; Estos esquemas han encontrado nuevas formas de usar aplicaciones falsas para engañar a las víctimas para que expongan sus billeteras criptográficas móviles o para que transfieran fondos directamente, incluido el abuso de los esquemas de implementación de aplicaciones ad-hoc de iOS de Apple.
Se pueden encontrar más detalles sobre estos y otros hallazgos en el informe completo.