Las vulnerabilidades publicadas aumentaron un 43% en el primer semestre de 2024 en comparación con el primer semestre de 2023, y los atacantes apuntaron principalmente a fallas en redes privadas virtuales (VPN) y otros dispositivos perimetrales para obtener acceso inicial, según un nuevo informe de Forescout. Se informó de un total de 23.668 vulnerabilidades en los primeros seis meses de 2024, con un promedio de 111 nuevos CVE por día. Fuente: Forescout. La mayoría de las vulnerabilidades publicadas en el primer semestre de 2024 tenían una puntuación de gravedad (CVSS) media (39%) o baja (25%), mientras que solo el 9% tenía una puntuación crítica. Esto contrasta con el mismo período del año pasado, donde alrededor de dos tercios de las vulnerabilidades eran medias (39%) o altas (27%). El informe también destacó que se agregaron 87 CVE al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en el primer semestre de 2024, lo que eleva el total a 1140 vulnerabilidades. Esto representa una disminución del 23% en comparación con el mismo período en 2023. Las nuevas vulnerabilidades publicadas en el catálogo en el primer semestre de 2024 afectaron a 39 proveedores diferentes, una disminución del 17% con respecto a los 47 del primer semestre de 2023. La empresa más afectada fue Microsoft (17%), seguida de Google (8%), Apple (6%), D-Link (6%), Ivanti (6%), Android (5%) y Cisco (5%). Casi la mitad (46%) de las vulnerabilidades agregadas este año se publicaron antes de 2024. Cinco de estas fallas se encontraban en productos al final de su vida útil que afectaban a Internet Explorer, enrutadores D-Link y productos de almacenamiento conectados a red, lo que significa que no hay parches disponibles para estos equipos. La mayoría de los actores de amenazas se originan en China, Rusia e Irán Forescout descubrió que la mayoría de los actores de amenazas activos en el primer semestre de 2024 se originaron en China (65), Rusia 36%) e Irán (21), y China superó a Rusia a partir del primer semestre de 2023. Actores de amenazas por país de origen. Fuente: ForescoutLa mitad (50%) de estos actores están designados como ciberdelincuentes, seguidos de los actores patrocinados por el estado (40%) y los hacktivistas (10%). Los investigadores observaron que hay líneas cada vez más difusas entre los hacktivistas y los actores patrocinados por el estado que atacan la infraestructura crítica, y que los actores patrocinados por el estado utilizan personajes de hacktivistas para llevar a cabo algunos de sus ataques. Este cambio puede deberse a varios factores, como una mayor visibilidad de las campañas y una negación plausible de los actores. Un ejemplo de este tipo de actor de amenazas es el Ejército Cibernético de Rusia, que se cree que está vinculado a Sandworm, que lanzó un ataque contra una planta de tratamiento de aguas residuales en los EE. UU. en abril de 2024. Otro es Predatory Sparrow, que se hace pasar por un grupo hacktivista que se rebela contra el estado iraní, pero se cree que está afiliado a Israel. Lea ahora: De las protestas a las ganancias: por qué los hacktivistas se están uniendo a las filas del ransomware Los ataques de ransomware siguen aumentando El informe mostró un aumento del 6% en los ataques de ransomware en el primer semestre de 2024 en comparación con el primer semestre de 2023, alcanzando los 3085 ataques. El panorama del ransomware se ha fragmentado significativamente durante este período: en el primer semestre de 2023, los 10 grupos principales representaron tres cuartas partes de los ataques, pero en el primer semestre de 2024 representaron el 59%. LockBit fue el grupo más activo en este período, responsable del 15% de los ataques. Esto a pesar de la importante operación policial dirigida a la infraestructura del grupo en febrero de 2024. A LockBit le siguieron Play (6%), RansomHub (6%), Cactus (5%), Akira (5%), Hunters (5%) y BlackBasta (5%).