Predicciones de Bitdefender en ciberseguridad para 2024: cambios en el panorama de ataques

Predicciones de Bitdefender en ciberseguridad para 2024: cambios en el panorama de ataques

En este articulo exploramos nuestras predicciones sobre IA y ransomware: la reducción de la barrera de acceso inicial para los atacantes. Esto dará como resultado un aumento en los endpoints comprometidos y hablaremos sobre las implicaciones desde la perspectiva de la superficie de ataque.

La continua evolución de las amenazas a los endpoints

Los endpoints siguen siendo uno de los objetivos más destacados para los ciberdelincuentes en un ciberataque y son el vector de entrada inicial más común. Como resultado, los ataques dirigidos al endpoint se intensificarán y hay varias áreas clave donde esto se pondrá de manifiesto:

  • Living Off The Land. Los ciberdelincuentes quieren evitar ser detectados una vez que han comprometido un sistema. Una de las formas en que perpetúan sus ataques sin generar demasiadas alarmas es empleando técnicas de tipo LOLBin (Living Off the Land). Este tipo de ataque utiliza binarios ya existentes en el sistema (programas y software que ya están instalados en un sistema) para llevar a cabo un ataque, en lugar de depender de la ejecución de software malicioso por separado, que puede ser fácilmente identificado incluso por software de seguridad heredado. Hemos visto principalmente este tipo de explotación de recursos en dispositivos Windows, donde el atacante utiliza PowerShell, WMI, Programador de tareas y otros servicios integrados en el sistema operativo para ejecutar o activar scripts maliciosos en el endpoint, pero cada vez más, los ciberdelincuentes comprometen los archivos binarios. También comprometen binarios en dispositivos Linux macOS. Estas tácticas de ataque han demostrado ser efectivas y exitosas, y seguiremos viendo un aumento de ataques que utilizan estas tácticas en 2024. Esto subraya la importancia de emplear tecnología EDR/XDR (endpoint detection and response and extended detection and response) y servicios MDR (managed detection and response) que pueda correlacionar eventos en toda la red y ayude a identificar el comportamiento asociado con un incidente de seguridad que puede involucrar técnicas tipo LOLbin.
  • Traiga su propio driver vulnerable (BYOVD).Los ciberdelincuentes están explotando cada vez más los drivers vulnerables para obtener acceso privilegiado a los sistemas, y luego lo usan para eludir las soluciones de seguridad en los endpoints, implantar y activar ransomware, moverse lateralmente a través de la red de una organización y filtrar datos valiosos. Al igual que LOLBins, explotar los drivers existentes en un sistema ayuda al atacante a pasar desapercibido por las soluciones de seguridad tradicionales y, a menudo, a eludir la protección de firma digital de Microsoft. Vimos, por ejemplo, al grupo de hackers Lazarus, con sede en Corea del Norte , explotar drivers pertenecientes a software de autenticación para comprometer la seguridad de una organización a la que apuntaban. En 2024 es muy probable que veamos un aumento de los ataques que utilizan las vulnerabilidades de los drivers para comprometer los endpoints.
  • Heterogeneidad en Windows. Microsoft presentó el subsistema de Windows para Android a los expertos en octubre de 2021 y permitió las secuencias de comandos Python en Microsoft Office en 2023. Estas nuevas características permiten que Windows ejecute aplicaciones no nativas en Windows. Por sí solas, estas adiciones introducen un conjunto completamente nuevo de código y vulnerabilidades potenciales en Windows. Cada nuevo software aumenta la superficie de ataque, que es el número total de puntos o «vectores de ataque» que atacante puede intentar explotar. Al tener como objetivo los sistemas Windows y Android, los atacantes tienen más oportunidades de encontrar debilidades. Para agravar el problema, la utilización del subsistema Android en Windows a menudo implica la descarga de aplicaciones. Además, a los ciberdelincuentes les encanta infectar APK de terceros (ejecutables de Android) con malware. El soporte incluido de secuencias de comandos Python abre las puertas a ataques adicionales dirigidos a usuarios que ejecutan Microsoft Office. Ya hemos comenzado a ver algunos paquetes de software malicioso que explotan el índice de paquetes de Python (PyPl). Para protegerse contra estas amenazas, los usuarios deben abstenerse de descargar aplicaciones en sistemas Android y cumplir con la instalación de software que esté disponible solo a través de Google Play Store o Company Portal.
  • Bypass de EDR. Los ciberdelincuentes han desarrollado una serie de técnicas para evitar la detección de EDR. Logran esto modificando el código en la memoria, incapacitando los enlaces del modo de usuario, deshabilitando por completo el servicio Antimalware Scan Interface (AMSI). AMSI permite que las soluciones de seguridad escaneen el código que se ejecuta en los sistemas Windows en busca de amenazas, utilizando Kernel Exploits y manipulando los registros de auditoría utilizados por soluciones EDR. A medida que la adopción de EDR crezca en popularidad, también lo hará la adopción de técnicas de elusión de EDR por parte de los ciberdelincuentes. Las organizaciones deben implementar tecnología de defensa en profundidad que utilice múltiples capas de seguridad que se complementen y se superpongan entre sí. Esto incluye capacidades de protección de procesos que fortalecen el endpoint contra la manipulación de DLL y combina seguridad en modo usuario y modo kernel junto con heurística para identificar e impedir técnicas de omisión de EDR.

Amenazas crecientes en la nube

Las cargas de trabajo y la infraestructura de la nube se han vuelto fundamentales para la operativa de las organizaciones en todo el mundo. Esta dependencia crítica de los entornos de nube conlleva un mayor riesgo. En 2023 se produjo un aumento de los ciberataques dirigidos a arquitecturas nativas de la nube, como las plataformas de orquestación de contenedores. Los ciberdelincuentes continuaron explotando vulnerabilidades en servicios ampliamente utilizados y abusaron de las configuraciones erróneas en cargas de trabajo en la nube. Comprender estas amenazas emergentes es crucial para que las organizaciones fortalezcan sus defensas y garanticen que su transición a la nube en 2024 siga siendo segura y resiliente.

  • Azure y Azure AD bajo asedio. el año pasado se produjo un aumento en la disponibilidad de herramientas de código abierto disponibles, que son particularmente útiles para administrar, monitorizar y proteger cargas de trabajo en la nube pública, particularmente para Microsoft Azure®. Anticipamos que los ciberdelincuentes buscarán secuestrar muchas de estas herramientas para obtener acceso no autorizado a cargas de trabajo en la nube. Al «conectarse» a las interfaces de programación de aplicaciones (API) utilizadas por estas herramientas, o explotar controladores vulnerables, los ciberdelincuentes podrán exponer la seguridad de los entornos de nube con los que interactúan estas herramientas. Con esa exposición, los ciberdelincuentes podrán acceder a Azure AD y crear cuentas con acceso elevado que les permitirá debilitar las defensas en las organizaciones (por ejemplo, deshabilitar la autenticación multifactor) o manipular infraestructuras de administración existentes como Intune™ para ejecutar malware en los hosts. Las soluciones de detección y respuesta extendidas (XDR) que ofrecen protección para cargas de trabajo en la nube plataformas de identidad pueden ayudar a descubrir comportamientos asociados con el uso indebido de estas herramientas.
  • El auge de los gusanos nativos de la nube. La mayor adopción de DevOps en la nube y la creciente popularidad de plataformas de contenedores como Kubernetes, OpenShift o Docker han ampliado la superficie de ataque potencial para los ciberdelincuentes, que van a seguir aprovechando las configuraciones erróneas en estos entornos de nube para obtener acceso a las organizaciones. Se espera un aumento en los gusanos nativos de la nube que hacen proliferar el malware. Al explotar la naturaleza misma de estas plataformas entrelazadas, estos gusanos tienen el potencial de causar mucho daño en muy poco tiempo. Las organizaciones con presencia en la nube deben contratar servicios profesionales de gestión de seguridad para identificar y resolver estas configuraciones.

Superficies de ataque emergentes: las nuevas fronteras

Los endpoints y las cargas de trabajo en la nube seguirán siendo los principales objetivos de los ciberataques en 2024. Pero, además, los ciberdelincuentes van a ampliar la forma en que atacan estos activos.

  • Apuntando a aplicaciones de comunicación. En 2024 veremos un aumento de ataques que utilizan aplicaciones de comunicación como Slack® y Teams™, convirtiendo estas plataformas en campos de batalla muy parecidos a territorios disputando nuevas tierras. Por su naturaleza, estas herramientas seguirán siendo un vector de ataque muy importante. Las organizaciones deben emplear seguridad de múltiples capas en sus endpoints que incluya una protección de red efectiva, que pueda interceptar la transferencia de archivos maliciosos a través de estas plataformas.
  • Interacciones cambiantes de los usuarios y dispositivos no administrados. El 70% de los incidentes que el equipo de Bitdefender MDR investigó en 2023 se originaron en dispositivos no administrados, lo que deja clara la efectividad de apuntar a estos equipos. Las empresas deben permanecer alerta contra los ataques de phishing que emplean códigos QR, o aquellos que involucran al actor de la amenaza utilizando números de teléfono o cuentas secuestradas para iniciar chats que conducen a la exposición de datos confidenciales del usuario. Las organizaciones deben emplear políticas rígidas, en este sentido, para prevenir las amenazas que se originan por el uso de dispositivos no administrados, y se debe alentar a los empleados a instalar seguridad móvil sólida en sus dispositivos con capacidad para detectar mensajes maliciosos.
  • Mayor uso de marcos y lenguajes de programación independientes de la plataforma por parte de los ciberdelincuentes. El año pasado se intensificaron los ataques escritos en lenguajes de programación independientes como Rust, Go y Swift. Además de utilizar estos lenguajes independientes de la plataforma, también hemos visto un mayor uso de marcos de código abierto como Havok y Sliver, empleados en conexiones de comando y control por parte de grupos cibercriminales. Los beneficios para los atacantes consisten en poder comprometer todos y cada uno de los sistemas operativos.
  • Explotación de vulnerabilidades en las CPU.En 2023 se descubrieron varias vulnerabilidades importantes en las CPU, como el problema de prefijo redundante de Intel y el muestreo de datos de recopilación, el inicio de AMD y ZenBleed. Estos fallos pueden permitir a los ciberdelincuentes filtrar información confidencial a través de límites de privilegios o, incluso, llevar a cabo ataques DoS en sistemas comprometidos. Debido a su naturaleza, estos errores son difíciles de resolver y, a menudo, requieren una actualización del sistema operativo o del microcódigo.
  • Conflictos globales que conducen a un aumento del hacktivismo.La ciberguerra sigue siendo una herramienta eficaz para lograr objetivos políticos, sociales o nacionales. Estos objetivos pueden consistir, por ejempolo, en alterar una infraestructura crítica, robar datos confidenciales o influir en la opinión pública. En los últimos dos años se ha visto un aumento significativo de los ataques contra las infraestructuras críticas, perpetuados por grupos sospechosos de estar patrocinados por algunos Estados. Se espera que, en 2024, aumenten estos ataques en frecuencia y alcance.

Conclusión

Este año el panorama de la ciberguerra está experimentando un cambio sísmico, impulsado por la integración acelerada de herramientas de Inteligencia Artificial (IA), un mayor enfoque en los entornos de nube y una superficie de ataque en expansión, provocada por plataformas y prácticas laborales heterogéneas. Está claro que, si bien los desafíos son muchos, también hay motivos sustanciales para el optimismo. Los mismos avances tecnológicos que han envalentonado a los ciberatacantes también están dotando a los defensores de herramientas más sólidas y sofisticadas. Los gobiernos, las organizaciones y los expertos en ciberseguridad colaboran cada vez más, compartiendo conocimientos y recursos para adelantarse a las amenazas. Este esfuerzo colectivo es un testimonio de la resiliencia y adaptabilidad de la comunidad de ciberseguridad.

Las organizaciones que se centran en la prevención son las que tienen más probabilidades de afrontar con éxito estos tiempos turbulentos. De cara a 2024, las organizaciones deberían adoptar un plan que incluya capacidades efectivas de prevención, protección, detección y respuesta para formar no solo componentes de una estrategia de ciberseguridad saludable, sino los mismos pilares sobre los que se construye su resiliencia.

 

Richard De La Torre, Technical Marketing Manager, de Bitdefender

5/5 (1 Review)
Facebooktwitterpinterestlinkedinby feather
/ Ciberseguridad

Related Posts

Adecuación a PCI-DSS. Quién y cómo debe adecuarse
Secure&IT participa en el proyecto Basque Cyber Security Shared Data (BCSSD)
Ciberseguridad industrial: normativa, retos y soluciones
Los ciberataques aumentan un 30% durante el verano
Compliance penal: la medida para reducir otro tipo de sanciones
Alertas de seguridad – Agosto 2023
Alertas de seguridad – enero 2020
¡Cuidado! Campaña de malware que suplanta a tus contactos legítimos
El marco legal dentro del hacking ético
Nuevas convocatorias de cursos en Secure&Academy
Papeles de Panamá (Panama Papers): ciberataques y fugas de información
Alerta de seguridad: fallo en los procesadores de varios fabricantes