[21/08/2024] CrowdStrike ha publicado el informe 2024 Threat Hunting Report, en el que se destacan las últimas tendencias, campañas y tácticas de los adversarios basadas en la inteligencia de los cazadores de amenazas y analistas de inteligencia de CrowdStrike. El informe revela un aumento de los adversarios del estado-nación y del crimen electrónico que explotan credenciales e identidades legítimas para evadir la detección y eludir los controles de seguridad heredados, así como un aumento de las intrusiones de teclado, los ataques entre dominios y los exploits del plano de control de la nube.
"Durante más de una década, hemos seguido de cerca a los más prolíficos hacktivistas, eCrime y adversarios nacionales”, sostuvo Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, en el comunicado de prensa. "Al rastrear a casi 250 adversarios el año pasado, surgió un tema central: los actores de amenazas se dedican cada vez más a intrusiones interactivas y emplean técnicas entre dominios para evadir la detección y lograr sus objetivos. Nuestra exhaustiva caza de amenazas dirigida por humanos informa directamente a los algoritmos que impulsan la plataforma Falcon IA, lo que garantiza que nos mantengamos por delante de estas amenazas en evolución y continuemos ofreciendo las soluciones de ciberseguridad más efectivas de la industria”.
El ejecutivo anotó que las principales conclusiones son:
- Los adversarios de Corea del Norte se hacen pasar por empleados estadounidenses legítimos: FAMOUS CHOLLIMA se infiltró en más de 100 empresas tecnológicas principalmente estadounidenses. Aprovechando documentos de identidad falsificados o robados, los infiltrados maliciosos consiguieron empleo como personal informático remoto para exfiltrar datos y llevar a cabo actividades maliciosas.
- Las intrusiones manuales aumentan un 55%: Cada vez son más las amenazas que utilizan el teclado para pasar por usuarios legítimos y eludir los controles de seguridad heredados. El 86% de todas las intrusiones manuales son ejecutadas por delincuentes electrónicos que buscan beneficios económicos. Estos ataques aumentaron un 75% en sanidad y un 60% en tecnología, que sigue siendo el sector más atacado durante siete años consecutivos.
- El abuso de herramientas RMM crece un 70%: Adversarios como CHEF SPIDER (eCrime) y STATIC KITTEN (Iran-nexus) están utilizando herramientas legítimas de monitorización y gestión remota (RMM) como ConnectWise ScreenConnect para la explotación de endpoints. La explotación de herramientas de RMM representó el 27% de todas las intrusiones a través del teclado.
- Persisten los ataques entre dominios: Los actores de las amenazas explotan cada vez más las credenciales válidas para penetrar en entornos en la nube y, finalmente, utilizar ese acceso para acceder a los puestos finales. Estos ataques dejan huellas mínimas en cada uno de esos dominios, como piezas de puzzle separadas, lo que los hace más difíciles de detectar.
- Los adversarios de la nube se centran en el plano de control: Los adversarios concienciados con la nube, como SCATTERED SPIDER (eCrime), aprovechan la ingeniería social, los cambios de políticas y el acceso a gestores de contraseñas para infiltrarse en entornos de nube. Aprovechan las conexiones entre el plano de control de la nube y los puntos finales para moverse lateralmente, mantener la persistencia y exfiltrar datos.
Franca Cavassa, CTOPerú