Además de los esfuerzos redoblados en el lado izquierdo de la cadena de ataque, también veremos un aumento significativo en la velocidad a la que se pueden lanzar nuevos ataques en el lado derecho debido a la expansión del mercado del Crimen como Servicio. Además de la venta de ransomware y otras ofertas de malware como servicio, es probable que veamos nuevas soluciones criminales, que incluyen phishing y botnets como servicio, así como un aumento en la venta de acceso a objetivos precomprometidos.
También veremos un aumento de nuevos ataques. Las organizaciones deben prepararse para atacar nuevos vectores de ataque, como las plataformas Linux. Linux todavía ejecuta los sistemas de back-end de la mayoría de las redes y, hasta hace poco, la comunidad de hackers lo ha ignorado en gran medida. Pero ya hemos comenzado a ver nuevos ataques basados en Linux como Vermilion Strike, que es una implementación maliciosa de la función Beacon de Cobalt Strike que puede apuntar a sistemas Linux con capacidades de acceso remoto sin ser detectados.
De manera similar, Microsoft está integrando activamente WSL (Subsistema de Windows para Linux) en Windows 11. WSL es una capa de compatibilidad para ejecutar ejecutables binarios de Linux de forma nativa en Windows. Ya hemos visto archivos de prueba maliciosos dirigidos a WSL. Estos archivos actúan como cargadores, muchos de ellos con cargas útiles maliciosas. Simplemente carecen de la capacidad de inyectar esas cargas útiles en el sistema WSL. Y también estamos viendo que se escribe más malware de botnet para plataformas Linux. Esto expande aún más la superficie de ataque, hasta el borde de la red. Esperamos ver aún más actividad dirigida a dispositivos periféricos que tradicionalmente los ciberdelincuentes habían pasado por alto.
De arriba a abajo
Esperamos ver nuevos exploits dirigidos a las redes de satélite durante el próximo año. Ya existen media docena de importantes proveedores de Internet por satélite. Las estaciones base de satélite sirven como punto de entrada a la red de satélites, esencialmente conectando a todos, en todas partes, incluidos los ciberdelincuentes con sus objetivos, por lo que aquí es donde acecharán muchas amenazas. Pero también habrá millones de terminales desde los que lanzar un ataque. Ya hemos comenzado a ver nuevas amenazas dirigidas a redes basadas en satélites, como ICARUS, que es un ataque DDoS de prueba de concepto que aprovecha la accesibilidad global directa a los satélites para lanzar ataques desde numerosas ubicaciones.
Los principales objetivos serán las organizaciones que dependen de la conectividad satelital para administrar sus negocios, las que brindan servicios críticos a ubicaciones remotas y las organizaciones que brindan servicios a clientes en movimiento, como cruceros, buques de carga y aerolíneas comerciales. Seguramente seguirán otros ataques, como el ransomware.
En el extremo más pequeño de la escala, también esperamos ver un aumento en el robo digital por parte de los atacantes que apuntan a las billeteras criptográficas. Si bien los bancos han podido defenderse en gran medida de los ataques dirigidos a transferencias bancarias mediante el cifrado y la autenticación de múltiples factores, muchas billeteras digitales se encuentran desprotegidas en computadoras portátiles y teléfonos inteligentes. Ya hemos visto surgir nuevos ataques dirigidos a carteras digitales. Un nuevo generador de tarjetas de regalo falsas de Amazon apunta específicamente a las billeteras digitales reemplazando la billetera de la víctima por la del atacante. Y ElectroRAT se dirige a ellos combinando ingeniería social con aplicaciones de criptomonedas personalizadas y un nuevo troyano de acceso remoto.(RAT) para apuntar a varios sistemas operativos, incluidos Windows, Linux y macOS. Esperamos ver más malware diseñado para apuntar a las credenciales criptográficas almacenadas y agotar las billeteras digitales, especialmente a medida que más empresas adoptan billeteras digitales para realizar compras.
Núcleo hasta el borde
También predecimos que los ataques continuarán extendiéndose por la red, incluido un aumento en los ataques dirigidos a los sistemas de tecnología operativa (OT). Según un informe reciente de CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.), Los ataques de ransomware se dirigen cada vez más a la infraestructura crítica y “han demostrado la creciente amenaza del ransomware para los activos y sistemas de control de tecnología operativa (OT)”. Esto está siendo impulsado por la convergencia casi universal de las redes de TI y OT, que ha permitido que algunos ataques se dirijan a los sistemas de OT a través de las redes domésticas y los dispositivos de los trabajadores remotos comprometidos.
Tradicionalmente, los ataques a los sistemas OT eran el dominio de actores de amenazas altamente especializados que conocían los sistemas ICS y SCADA. Pero incluso esas capacidades y herramientas altamente especializadas ahora se incluyen en los kits de ataque disponibles para su compra en la web oscura, lo que los pone a disposición de un conjunto mucho más amplio de atacantes mucho menos técnicos.
Y en el otro extremo de la red, también vemos que surgen nuevos desafíos basados en el borde. “Vivir de la tierra” es una técnica que permite a los actores de amenazas y malware aprovechar los conjuntos de herramientas y las capacidades existentes en entornos comprometidos. Esto permite que los ataques y la exfiltración de datos parezcan una actividad normal del sistema y pasen desapercibidos. Los ataques que viven de la tierra son efectivos porque utilizan herramientas legítimas para llevar a cabo sus acciones maliciosas. Y ahora, a medida que los dispositivos de borde se vuelven más poderosos, con más capacidades nativas y, por supuesto, más privilegios, esperamos ver nuevos ataques diseñados para “vivir del borde”. El malware que vive en estos entornos perimetrales utilizará los recursos locales para monitorear las actividades y los datos perimetrales y luego robar, secuestrar o incluso rescatar sistemas, aplicaciones e información críticos mientras evita la detección.
¿Por dónde empezar con la expansión de la superficie de ataque?
Defenderse contra esta nueva ola de amenazas requiere un enfoque holístico e integrado de la seguridad. Los productos puntuales deben reemplazarse por dispositivos de seguridad diseñados para interoperar como una solución unificada independientemente de dónde se implementen. Necesitan proteger a todos los usuarios, dispositivos y aplicaciones con una política unificada que pueda seguir los datos y las transacciones de un extremo a otro. La administración centralizada también ayudará a garantizar que las políticas se apliquen de manera consistente, que las configuraciones y actualizaciones se entreguen con prontitud y que los eventos sospechosos que puedan ocurrir en cualquier lugar de la red, incluidos los entornos de nube, entre ellos y dentro de ellos, se recopilen y correlacionen de manera centralizada.
Se insta encarecidamente a las organizaciones a que amplíen sus esfuerzos reforzando su Linux y otros dispositivos tradicionalmente de bajo perfil. También deben tener herramientas diseñadas para proteger, detectar y responder a las amenazas dirigidas a estos dispositivos. De manera similar, las organizaciones deben adoptar un enfoque de seguridad primero al adoptar nuevas tecnologías, ya sea actualizando sus sistemas basados en Windows o agregando conectividad basada en satélites, para asegurarse de que las protecciones estén en su lugar antes de agregarlas a su red. Además, se deben implementar análisis de comportamiento para detectar amenazas de “mano izquierda”. Descubrir y bloquear un ataque durante el reconocimiento inicial y los esfuerzos de sondeo puede ayudar a aumentar la conciencia de las amenazas y prevenir problemas que surjan más adelante en la cadena del ataque.
Las herramientas de seguridad deben seleccionarse en función de su capacidad para detectar y prevenir amenazas conocidas y desconocidas y responder a las amenazas activas en tiempo real antes de que se puedan establecer cabezas de playa o se puedan entregar cargas útiles maliciosas. Para ayudar, AIy las capacidades de aprendizaje automático deben implementarse de manera generalizada en toda la red para establecer un comportamiento normal de referencia y responder instantáneamente a los cambios y detectar y deshabilitar amenazas sofisticadas antes de que puedan ejecutar sus cargas útiles. También son esenciales para correlacionar cantidades masivas de datos recopilados para detectar comportamientos maliciosos, incluido el uso de fuentes de amenazas y perfiles de ataque para predecir los lugares más probables en que puede ocurrir un ataque y reforzar de manera proactiva esas defensas. También se deben considerar otras tecnologías avanzadas, como el engaño, para convertir una red tradicionalmente pasiva en un sistema de defensa activo.
Las amenazas no muestran signos de desaceleración. Si su red y sus herramientas de seguridad no están listas para proteger a su organización de la próxima generación de amenazas ahora, mañana puede ser demasiado tarde para realizar los cambios críticos que necesita. La implementación amplia, la integración profunda y la automatización dinámica, combinadas con alto rendimiento e hiperescalabilidad, son las características distintivas de cualquier sistema de seguridad diseñado para proteger la forma en que las organizaciones actuales necesitan administrar sus negocios. Para combatir estas amenazas en evolución, las organizaciones deben adoptar una plataforma Security Fabric basada en una arquitectura de malla de ciberseguridad.
