sophos
Búsqueda de Ciberamenazas

Informe de amenazas de Sophos 2023: la continua evolución del “crimen como servicio”

Hoy publicamos la edición 2023 del informe anual de amenazas de Sophos. Basado en una combinación de telemetría, datos de respuesta a incidentes y otras recopilaciones de inteligencia sobre amenazas, el informe presenta una descripción del panorama de las amenazas en la actualidad y examina las tendencias que vimos surgir en el cibercrimen. Una de las tendencias más claras es la continua evolución de una industria de la ciberdelincuencia madura que refleja en muchos aspectos las tendencias del software legítimo y los servicios digitales.

Los operadores de ransomware fueron los principales adoptantes del modelo “como servicio” para la ciberdelincuencia. En 2022, vimos que el modelo se adoptó de forma más generalizada en el espacio de la ciberdelincuencia, con mercados digitales clandestinos que ahora ofrecen prácticamente todos los componentes del conjunto de herramientas de la ciberdelincuencia a aquellos que están dispuestos a pagar por ellos: la captación y el compromiso inicial de las víctimas, la evasión y la seguridad operativa, y la entrega de malware, entre otros.

También están disponibles las herramientas de ataque profesionales (con licencias “crackeadas” o eludidas). Cobalt Strike, destinado a ser utilizado por los profesionales de la seguridad para emular a los atacantes avanzados, se ve ahora en la mayoría de los incidentes de ransomware. Brute Ratel, otra herramienta de explotación avanzada que se anuncia como un sustituto de Cobalt Strike, también está ahora ampliamente disponible y se ha visto en un puñado de incidentes de ransomware hasta ahora.

Las operaciones de los propios operadores de ransomware siguen madurando. LockBit 3.0, por ejemplo, ofrece ahora un programa de recompensas por errores para probar su malware y realiza estudios de mercado en la comunidad criminal para mejorar las operaciones del grupo. Otros grupos han ofrecido programas de “suscripción” para los datos que roban.

Todo esto ha sucedido en el contexto de la guerra en Ucrania, que provocó divisiones y rupturas en los grupos de ciberdelincuentes de habla rusa, con el consiguiente doxing y las violaciones de datos de Conti y de otros grupos de ransomware. También dio lugar a una oleada de nuevos fraudes, utilizando la petición de fondos del gobierno de Ucrania como reclamo para una oleada de estafas con criptomonedas y otras estafas financieras.

El abuso de otros programas informáticos legítimos, así como de componentes del propio sistema operativo Windows, sigue siendo un reto para los defensores. Los delincuentes siguieron ampliando el uso de ejecutables legítimos (como las versiones “de prueba” de productos de software comercial, incluidas las herramientas de acceso remoto), y de LOLBins para eludir la detección y lanzar programas maliciosos.

También vimos el regreso de los ataques de “traiga su propio controlador“, con actores maliciosos que utilizan controladores vulnerables de software legítimo para elevar los privilegios e intentar apagar los productos de detección y respuesta de endpoints para evadir la detección.

En el ámbito móvil, seguimos viendo aplicaciones falsas maliciosas o fraudulentas que evaden la detección de los principales mercados de aplicaciones móviles. Algunas de estas aplicaciones forman parte de una clase de ciberdelincuencia en rápida expansión: el fraude en el comercio financiero.  Sophos ha seguido la rápida expansión de las estafas de comercio de criptomonedas y de otro tipo, como los esquemas de “pig butchering“, durante el año pasado; estos esquemas han encontrado nuevas formas de utilizar aplicaciones falsas para engañar a las víctimas para que expongan sus carteras de criptomonedas móviles o para hacer que directamente transfieran fondos, incluyendo el abuso de los esquemas de despliegue de aplicaciones ad-hoc de iOS de Apple.

En el informe completo se pueden encontrar más detalles sobre estos y otros hallazgos.