El miércoles ocho de mayo, Fortinet hizo el lanzamiento del reporte global de FortiGuard Labs sobre el panorama de amenazas de la segunda mitad de 2023. El informe semestral es una instantánea del panorama de amenazas activas y destaca las tendencias de julio a diciembre de 2023, incluido el análisis sobre la velocidad con la que los ciber atacantes están aprovechando las vulnerabilidades de seguridad recientemente identificadas de toda la industria de la ciberseguridad y el aumento de la actividad dirigida de ransomware y wiper contra el sector industrial y de OT.
Hallazgos claves
Los ataques comenzaron en promedio 4,76 días después de que se divulgaran públicamente nuevas vulnerabilidades de seguridad: Al igual que en el reporte global del panorama de amenazas de la primera mitad de 2023, FortiGuard Labs buscó determinar cuánto tiempo tarda una vulnerabilidad en pasar de la etapa inicial a la explotación, si las vulnerabilidades con un alto puntaje en el sistema de puntuación de predicción de vulnerabilidades de seguridad (EPSS) se ejecutan más rápido y si se podría predecir el tiempo promedio de explotación utilizando datos del EPSS.
Con base en este análisis, en la segunda mitad de 2023 se vio a los atacantes aumentar la velocidad con la que aprovecharon las vulnerabilidades recientemente publicadas (43% más rápido que en la primera mitad de 2023). Esto pone de manifiesto la necesidad de que los proveedores se dediquen a descubrir internamente vulnerabilidades y desarrollen un parche antes de que pueda ocurrir la explotación (mitigando las instancias de vulnerabilidades de día cero). También refuerza que los proveedores deben divulgar proactiva y transparentemente las vulnerabilidades a los clientes para garantizar que tengan la información necesaria para proteger eficazmente sus activos, antes de que los ciber adversarios puedan explotar las vulnerabilidades de día N.
Algunas vulnerabilidades de día N permanecen sin parches durante más de quince años. Los CISOs y los equipos de seguridad no solo debieran preocuparse por las vulnerabilidades recientemente identificadas. La telemetría de Fortinet descubrió que el 41% de las organizaciones detectaron vulnerabilidades de seguridad de firmas de menos de un mes de antigüedad y casi todas las organizaciones (98%) detectaron vulnerabilidades de día N que han existido por al menos cinco años.
FortiGuard Labs también continúa observando a los actores de amenazas aprovechar las vulnerabilidades que tienen más de quince años de antigüedad, lo que refuerza la necesidad de permanecer atentos a la higiene de seguridad, y es un aviso continuo para que las organizaciones actúen rápidamente a través de un programa consistente de parches y actualización, empleando las mejores prácticas y la orientación de organizaciones como la coalición de resiliencia de red para mejorar la seguridad general de las redes.
El 44% de todas las muestras de ransomware y wiper se dirigieron a los sectores industriales. En todos los sensores de Fortinet, las detecciones de ransomware cayeron un 70% en comparación con el primer semestre de 2023. La desaceleración observada en el ransomware durante el último año se puede atribuir a que los atacantes pasan de la estrategia tradicional de “distribución y oración” a una estrategia mucho más focalizada, dirigida en gran medida a las industrias de energía, atención médica, manufactura, transporte y logística, y automotriz.
Se observó que 38 de los 143 grupos de amenazas persistentes avanzadas (APT) enumerados por MITRE estuvieron activos durante el segundo semestre de 2023. La inteligencia de FortiRecon, el servicio de protección de riesgos digitales de Fortinet, indicó que 38 de los 143 grupos que MITRE rastrea estuvieron activos durante el segundo semestre de 2023. De estos, Lazarus Group, Kimusky, APT28, APT29, Andariel y OilRig fueron los grupos más activos. Dada la naturaleza objetivo y las campañas relativamente cortas de los grupos cibernéticos de APT y de los estados-nación en comparación con las campañas de larga vida y extendidas de los cibercriminales, la evolución y el volumen de actividad en esta área es algo que FortiGuard Labs estará rastreando de manera continua.
Conversación en la dark web
El reporte global del panorama de amenazas de la segunda mitad de 2023 también incluye hallazgos de FortiRecon, que dan una mirada a las conversaciones entre los actores de amenazas en foros de la dark web, mercados, canales de Telegram y otras fuentes. Algunos de los hallazgos incluyen:
- Los actores de amenazas analizaron con más frecuencia cómo dirigirse a las organizaciones dentro de la industria financiera, seguidos de los sectores de servicios empresariales y educación.
- Se compartieron más de 3,000 brechas de datos en foros destacados de la dark web.
- Se analizaron activamente 221 vulnerabilidades en la dark web, mientras que se analizaron 237 vulnerabilidades en los canales de Telegram.
- Se anunciaron para la venta más de 850.000 tarjetas de pago.
Cómo cambiar la tendencia contra el cibercrimen
Con la superficie de ataque en constante expansión y una escasez de habilidades en ciberseguridad en toda la industria, es más desafiante que nunca para las empresas administrar adecuadamente una infraestructura compleja compuesta por soluciones dispares, y mucho menos mantenerse al día con el volumen de alertas de productos puntuales y las diversas tácticas, técnicas y procedimientos que los actores de amenazas aprovechan para comprometer a sus víctimas.
Mantener el paso en contra del cibercrimen requiere una cultura de colaboración, transparencia y responsabilidad a mayor escala que lo que pueden lograr las organizaciones individuales en el espacio de la ciberseguridad. Cada organización tiene un lugar en la cadena de interrupción contra las ciberamenazas. La colaboración con organizaciones de alto perfil y muy respetadas de los sectores públicos y privados, incluidos los CERT, las entidades gubernamentales y el mundo académico, es un aspecto fundamental del compromiso de Fortinet de mejorar la resiliencia cibernética a nivel mundial.
Es a través de la constante innovación tecnológica y la colaboración entre industrias y grupos de trabajo, como Cyber Threat Alliance, Network Resilience Coalition, Interpol, la Asociación contra el cibercrimen del Foro Económico Mundial (WEF) y el Atlas de cibercrimen del WEF, que mejorarán colectivamente las protecciones y ayudarán en la lucha contra el cibercrimen a nivel mundial.